CVEbaza.plSłownik CWECWE-327
Common Weakness Enumeration

CWE-327

Use of a Broken or Risky Cryptographic Algorithm

Kategoria: ClassCVE: 778
Opis

Produkt wykorzystuje uszkodzony lub ryzykowny algorytm lub protokół kryptograficzny. Takie rozwiązania mogą być podatne na ataki i nie zapewniają odpowiedniego poziomu bezpieczeństwa.

Description (EN)

The product uses a broken or risky cryptographic algorithm or protocol.

Podatności CVE z CWE-327 (778)
10.0
CVSS
CRITICAL
CVE-2026-50086

Brama IAM/SSO platformy Aqara (gw-builder.aqara.com) udostępnia bez uwierzytelnienia dwukierunkowy oracle operacji szyfrowania AES na kluczu podpisującym platformy. Umożliwia to nieuwierzytelnionemu atakującemu zdalne odczytanie wrażliwych danych chronionych tym kluczem.

pub. 2026-06-12
10.0
CVSS
CRITICAL
CVE-2026-21718

Podatność umożliwia nieuwierzytelnionemu atakującemu ominięcie mechanizmu uwierzytelniania w urządzeniach Copeland XWEB Pro i wykonanie dowolnego kodu bez wcześniejszego logowania. Krytyczny wynik CVSS 10.0 wskazuje na maksymalne ryzyko, szczególnie istotne w środowiskach OT/przemysłowych.

pub. 2026-02-27
9.9
CVSS
CRITICAL
CVE-2025-54426

Biblioteka Polkadot Frontier zawiera podatność w precompilach Curve25519Add i Curve25519ScalarMul, które nieprawidłowo obsługują nieprawidłowe reprezentacje punktów Ristretto. Zamiast zwrócić błąd, traktują błędne dane wejściowe jako element neutralny grupy, co prowadzi do potencjalnie niepoprawnych wyników kryptograficznych.

pub. 2025-07-28
9.9
CVSS
CRITICAL
CVE-2024-51478

YesWiki w wersjach przed 4.4.5 używa słabego algorytmu kryptograficznego oraz zakodowanego na stałe saltu do hashowania klucza resetowania hasła. Pozwala to atakującemu na odtworzenie klucza i przejęcie kontroli nad dowolnym kontem w systemie.

pub. 2024-10-31
9.8
CVSS
CRITICAL
CVE-2025-13476

Funkcja Cloak mode w aplikacji Rakuten Viber na Android oraz Windows wykorzystuje statyczny i przewidywalny fingerprint TLS ClientHello, pozbawiony różnorodności rozszerzeń. Pozwala to systemom Deep Packet Inspection (DPI) na trywialną identyfikację i blokowanie ruchu proxy, co podważa skuteczność mechanizmu obchodzenia cenzury.

pub. 2026-03-05
9.8
CVSS
CRITICAL
CVE-2025-69929

Podatność w N3Uron Web User Interface v.1.21.7-240207.1047 umożliwia zdalnemu atakującemu eskalację uprawnień (privilege escalation) bez konieczności uwierzytelnienia. Przyczyną jest stosowanie algorytmu MD5 do hashowania haseł po stronie klienta na przewidywalnym formacie ciągu znaków.

pub. 2026-01-29
9.8
CVSS
CRITICAL
CVE-2026-22585

Podatność w Salesforce Marketing Cloud Engagement polega na użyciu przestarzałego lub podatnego algorytmu kryptograficznego w kilku modułach platformy, co umożliwia manipulację protokołami usług sieciowych. Krytyczny wynik CVSS 9.8 wskazuje, że atak nie wymaga uwierzytelnienia ani interakcji użytkownika.

pub. 2026-01-24
9.8
CVSS
CRITICAL
CVE-2022-3365

Remote Mouse Server firmy Emote Interactive wykorzystuje trywialny szyfr podstawieniowy przesyłany tekstem jawnym oraz domyślne hasło, co umożliwia nieuwierzytelnionemu atakującemu zdalne wstrzykiwanie poleceń systemowych. Podatność jest krytyczna ze względu na brak wymagań co do uprawnień i interakcji użytkownika.

pub. 2025-01-28
9.8
CVSS
CRITICAL
CVE-2024-32911

Podatność w Google Android wynikająca z nieprawidłowego zastosowania mechanizmów kryptograficznych umożliwia zdalne eskalowanie uprawnień bez jakiejkolwiek interakcji użytkownika. Ocena CVSS 9.8 (CRITICAL) wskazuje na bardzo wysokie ryzyko.

pub. 2024-06-13
9.8
CVSS
CRITICAL
CVE-2024-31510

Podatność w bibliotece Open Quantum Safe liboqs v.10.0 umożliwia zdalnemu atakującemu eskalację uprawnień poprzez manipulację parametrem crypto_sign_signature w komponencie ML-DSA. Ocena CVSS 9.8 (CRITICAL) wskazuje na wyjątkowo wysokie ryzyko, gdyż atak nie wymaga uwierzytelnienia ani interakcji użytkownika.

pub. 2024-05-24
9.8
CVSS
CRITICAL
CVE-2023-5347

Podatność w urządzeniach Korenix JetNet Series polega na nieprawidłowej weryfikacji podpisu kryptograficznego podczas procesu aktualizacji oprogramowania. Umożliwia ona atakującemu podmianę całego systemu operacyjnego urządzenia, w tym zaufanych plików wykonywalnych (Trusted Executables).

pub. 2024-01-09
9.8
CVSS
CRITICAL
CVE-2023-34039

Aria Operations for Networks contains an Authentication Bypass vulnerability due to a lack of unique cryptographic key generation. A malicious actor with network access to Aria Operations for Networks could bypass SSH authentication to gain access to the Aria Operations for Networks CLI.

pub. 2023-08-29
9.8
CVSS
CRITICAL
CVE-2023-34130

SonicWall GMS and Analytics use outdated Tiny Encryption Algorithm (TEA) with a hardcoded key to encrypt sensitive data. This issue affects GMS: 9.3.2-SP1 and earlier versions; Analytics: 2.5.0.4-R7 and earlier versions.

pub. 2023-07-13
9.8
CVSS
CRITICAL
CVE-2022-36937

HHVM 4.172.0 and all prior versions use TLS 1.0 for secure connections when handling tls:// URLs in the stream extension. TLS1.0 has numerous published vulnerabilities and is deprecated. HHVM 4.153.4, 4.168.2, 4.169.2, 4.170.2, 4.171.1, 4.172.1, 4.173.0 replaces TLS1.0 with TLS1.3. Applications that call stream_socket_server or stream_socket_client functions with a URL starting with tls:// are affected.

pub. 2023-05-10
9.8
CVSS
CRITICAL
CVE-2023-0452

Econolite EOS versions prior to 3.2.23 use a weak hash algorithm for encrypting privileged user credentials. A configuration file that is accessible without authentication uses MD5 hashes for encrypting credentials, including those of administrators and technicians.

pub. 2023-01-26
9.8
CVSS
CRITICAL
CVE-2022-30273

The Motorola MDLC protocol through 2022-05-02 mishandles message integrity. It supports three security modes: Plain, Legacy Encryption, and New Encryption. In Legacy Encryption mode, traffic is encrypted via the Tiny Encryption Algorithm (TEA) block-cipher in ECB mode. This mode of operation does not offer message integrity and offers reduced confidentiality above the block level, as demonstrated by an ECB Penguin attack against any block ciphers.

pub. 2022-07-26
9.8
CVSS
CRITICAL
CVE-2021-45696

An issue was discovered in the sha2 crate 0.9.7 before 0.9.8 for Rust. Hashes of long messages may be incorrect when the AVX2-accelerated backend is used.

pub. 2021-12-27
9.8
CVSS
CRITICAL
CVE-2020-36363

Amazon AWS CloudFront TLSv1.2_2019 allows TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 and TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, which some entities consider to be weak ciphers.

pub. 2021-08-12
9.8
CVSS
CRITICAL
CVE-2021-22738

Use of a Broken or Risky Cryptographic Algorithm vulnerability exists in homeLYnk (Wiser For KNX) and spaceLYnk V2.60 and prior that could cause unauthorized access when credentials are discovered after a brute force attack.

pub. 2021-05-26
9.8
CVSS
CRITICAL
CVE-2020-14517

Protocol encryption can be easily broken for CodeMeter (All versions prior to 6.90 are affected, including Version 6.90 or newer only if CodeMeter Runtime is running as server) and the server accepts external connections, which may allow an attacker to remotely communicate with the CodeMeter API.

pub. 2020-09-16
Pokazano 20 z 778 podatności
Informacje
ID: CWE-327
Typ: Class
Podatności: 778
MITRE CWE ↗
← Słownik CWE
CWE-327 — Użycie uszkodzonego lub ryzykownego algorytmu kryptograficznego | Słownik CWE | CVEbaza.pl