Vulnerabilidad en un hash a las contraseñas de los usuarios sin sal en OnlineVotingSystem (CVE-2021-21253)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-916 Uso de hash de contraseña generado con esfuerzo computacional insuficiente

Fecha de publicación:

21/01/2021

Última modificación:

24/10/2022

Descripción

OnlineVotingSystem es un proyecto de código abierto alojado en GitHub. OnlineVotingSystem anterior a versión 1.1.2, aplica un hash a las contraseñas de los usuarios sin sal, lo que es vulnerable a ataques de diccionario. Por lo tanto, se presenta una amenaza de violación de seguridad en el sistema de votación. Sin una sal, es mucho más fácil para los atacantes calcular previamente el valor hash usando técnicas de ataque de diccionario como tablas rainbow para descifrar contraseñas. Este problema está corregido y publicado en la versión 1.1.2. Se agrega una sal generada aleatoriamente a la función password hash para proteger mejor las contraseñas almacenadas en el sistema de votación

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

5.30

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:L/Au:N/C:P/I:N/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: AV:N/AC:L/Au:N/C:P/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno