漏洞关键信息 1. 漏洞类型 Insecure Crypto 2. CVE 参考 CVE-2018-6619 3. 安全问题 Ehcp MySQL 数据库密码使用不安全的 MD5 哈希算法存储,且未加盐。例如: 4. 网络访问 Local 5. 严重性 Medium 6. 披露时间线 Vendor Notification: January 26, 2018 Vendor Acknowledges issues: January 27, 2018 Mitre Assigns CVE: January 29, 2018 Informed vendor of CVE: January 31, 2018 Public Disclosure: May 9, 2018 7. 攻击示例 MariaDB [ehcp]> select from panelusers limit 3; - 展示了实际数据库查询结果,显示了具体用户信息和哈希密码实例。 8. 厂商信息 Vendor: www.ehcp.net Product: Easy Hosting Control Panel v0.37.12.b 9. 攻击途径 哈希算法易被破解,且未加盐,允许攻击者使用彩虹表或暴力破解获取明文密码。 10. 预防建议 升级数据库密码存储机制,采用加盐哈希,如 bcrypt 或 Argon2。**