CVE-2021-39182

Use of Password Hash With Insufficient Computational Effort and Use of a Broken or Risky Cryptographic Algorithm and Reversible One-Way Hash in hashing.py

CVSS 7.5 HIGHEPSS 0.5%CWE-327 CWE-328 CWE-916

En resumen

EnroCrypt, una biblioteca Python para criptografía, utilizaba MD5 para hash de contraseñas antes de la versión 1.1.4, un algoritmo criptográficamente roto que permite a los atacantes romper contraseñas mucho más rápidamente. Cualquier sistema que dependa de hashes MD5 para almacenamiento de contraseñas corre un grave riesgo de acceso no autorizado.

Detalle técnico

La vulnerabilidad resulta del uso de MD5 (CWE-327, CWE-328) para hash de contraseñas en hashing.py, un algoritmo roto vulnerable a ataques de colisión y fuerza bruta debido a esfuerzo computacional insuficiente (CWE-916). Un atacante con acceso a los hashes de contraseña puede recuperar fácilmente las credenciales en texto plano, comprometiendo la autenticación de usuarios. El problema se corrigió en la v1.1.4.

Resumen generado y traducido por IA a partir de la descripción oficial.

EnroCrypt is a Python module for encryption and hashing. Prior to version 1.1.4, EnroCrypt used the MD5 hashing algorithm in the hashing file. Beginners who are unfamiliar with hashes can face problems as MD5 is considered an insecure hashing algorithm. The vulnerability is patched in v1.1.4 of the product. As a workaround, users can remove the `MD5` hashing function from the file `hashing.py`.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Productos afectados

Morgan-Phoenix · EnroCrypt

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/Morgan-Phoenix/EnroCrypt/commit/e652d56ac60eadfc26489ab83927af13a9b9d8ce https://github.com/Morgan-Phoenix/EnroCrypt/security/advisories/GHSA-35m5-8cvj-8783