CVEbaza.plSłownik CWECWE-331
Common Weakness Enumeration

CWE-331

Insufficient Entropy

Kategoria: BaseCVE: 149
Opis

Produkt wykorzystuje algorytm lub schemat generujący niewystarczającą entropię, pozostawiając wzorce lub skupienia wartości, które występują częściej niż inne. Powoduje to zmniejszoną losowość i przewidywalność wyników.

Description (EN)

The product uses an algorithm or scheme that produces insufficient entropy, leaving patterns or clusters of values that are more likely to occur than others.

Podatności CVE z CWE-331 (149)
9.8
CVSS
CRITICAL
CVE-2025-47781

Rallly w wersjach do 3.22.1 włącznie stosuje 6-cyfrowy token jako jedyny składnik uwierzytelnienia e-mail, co przy braku mechanizmów ochrony przed brute force pozwala nieuwierzytelnionemu atakującemu przejąć dowolne konto użytkownika w ciągu 15 minut. Podatność otrzymała ocenę CVSS 9.8 (CRITICAL) i zagraża wszystkim użytkownikom aplikacji.

pub. 2025-05-14
9.8
CVSS
CRITICAL
CVE-2024-47945

Urządzenia Rittal IoT Interface oraz CMC III Processing Units generują identyfikatory sesji z niewystarczającą entropią, co umożliwia ich przewidywanie i przejęcie sesji użytkownika. Podatność ma krytyczny charakter, ponieważ nie wymaga żadnego uwierzytelnienia ani interakcji ofiary.

pub. 2024-10-15
9.8
CVSS
CRITICAL
CVE-2024-25730

Urządzenia Hitron CODA-4582 i CODA-4589 generują domyślne klucze PSK (Pre-Shared Key) według przewidywalnego schematu, co skutkuje jedynie około milionem możliwych kombinacji. Atakujący w zasięgu sieci Wi-Fi może w krótkim czasie złamać klucz metodą brute-force i uzyskać nieautoryzowany dostęp do sieci.

pub. 2024-02-23
9.8
CVSS
CRITICAL
CVE-2023-49599

W aplikacji WWBN AVideo wykryto podatność niewystarczającej entropii w mechanizmie generowania soli (CWE-331), umożliwiającą eskalację uprawnień. Atakujący może sfałszować kod odzyskiwania hasła dla konta administratora bez posiadania jakichkolwiek uprawnień.

pub. 2024-01-10
9.8
CVSS
CRITICAL
CVE-2023-4344

Broadcom RAID Controller web interface is vulnerable to insufficient randomness due to improper use of ssl.rnd to setup CIM connection

pub. 2023-08-15
9.8
CVSS
CRITICAL
CVE-2022-34294

totd 1.5.3 uses a fixed UDP source port in upstream queries sent to DNS resolvers. This allows DNS cache poisoning because there is not enough entropy to prevent traffic injection attacks.

pub. 2022-08-15
9.8
CVSS
CRITICAL
CVE-2021-41615

websda.c in GoAhead WebServer 2.1.8 has insufficient nonce entropy because the nonce calculation relies on the hardcoded onceuponatimeinparadise value, which does not follow the secret-data guideline for HTTP Digest Access Authentication in RFC 7616 section 3.3 (or RFC 2617 section 3.2.1). NOTE: 2.1.8 is a version from 2003; however, the affected websda.c code appears in multiple derivative works that may be used in 2021. Recent GoAhead software is unaffected.

pub. 2022-08-08
9.8
CVSS
CRITICAL
CVE-2021-36294

Dell VNX2 OE for File versions 8.1.21.266 and earlier, contain an authentication bypass vulnerability. A remote unauthenticated attacker may exploit this vulnerability by forging a cookie to login as any user.

pub. 2022-01-25
9.8
CVSS
CRITICAL
CVE-2021-22727

A CWE-331: Insufficient Entropy vulnerability exists in EVlink City (EVC1S22P4 / EVC1S7P4 all versions prior to R8 V3.4.0.1), EVlink Parking (EVW2 / EVF2 / EV.2 all versions prior to R8 V3.4.0.1), and EVlink Smart Wallbox (EVB1A all versions prior to R8 V3.4.0.1 ) that could allow an attacker to gain unauthorized access to the charging station web server

pub. 2021-07-21
9.8
CVSS
CRITICAL
CVE-2021-33027

Sylabs Singularity Enterprise through 1.6.2 has Insufficient Entropy in a nonce.

pub. 2021-07-19
9.8
CVSS
CRITICAL
CVE-2020-10285

The authentication implementation on the xArm controller has very low entropy, making it vulnerable to a brute-force attack. There is no mechanism in place to mitigate or lockout automated attempts to gain access.

pub. 2020-07-15
9.8
CVSS
CRITICAL
CVE-2020-12735

reset.php in DomainMOD 4.13.0 uses insufficient entropy for password reset requests, leading to account takeover.

pub. 2020-05-08
9.8
CVSS
CRITICAL
CVE-2013-2260

Cryptocat before 2.0.22: Cryptocat.random() Function Array Key has Entropy Weakness

pub. 2019-11-04
9.8
CVSS
CRITICAL
CVE-2018-1000620

Eran Hammer cryptiles version 4.1.1 earlier contains a CWE-331: Insufficient Entropy vulnerability in randomDigits() method that can result in An attacker is more likely to be able to brute force something that was supposed to be random.. This attack appear to be exploitable via Depends upon the calling application.. This vulnerability appears to have been fixed in 4.1.2.

pub. 2018-07-09
9.8
CVSS
CRITICAL
CVE-2008-2108

The GENERATE_SEED macro in PHP 4.x before 4.4.8 and 5.x before 5.2.5, when running on 64-bit systems, performs a multiplication that generates a portion of zero bits during conversion due to insufficient precision, which produces 24 bits of entropy and simplifies brute force attacks against protection mechanisms that use the rand and mt_rand functions.

pub. 2008-05-07
9.5
CVSS
CRITICAL
CVE-2025-52464

W firmware Meshtastic w wersjach od 2.5.0 do przed 2.6.11 procedura flashowania stosowana przez niektórych producentów sprzętu powodowała duplikację par kluczy publiczny/prywatny, a dodatkowo nieprawidłową inicjalizację puli losowości na wybranych platformach. W efekcie klucze kryptograficzne generowane przez urządzenia mogły mieć zbyt niską entropię, co pozwala atakującemu na przechwycenie i odszyfrowanie prywatnych wiadomości użytkowników.

pub. 2025-06-19
9.4
CVSS
CRITICAL
CVE-2024-36400

Biblioteka nano-id dla języka Rust generowała identyfikatory z użyciem znacznie zredukowanego zestawu znaków, co drastycznie obniżało entropię wyników. W kontekstach wymagających bezpieczeństwa, takich jak tokeny sesji, czyni to wygenerowane ID podatnymi na ataki brute-force.

pub. 2024-06-04
9.3
CVSS
CRITICAL
CVE-2026-42155

Magento Long Term Support (LTS) przed wersją 20.18.0 generuje identyfikatory sesji XML-RPC/SOAP API przy użyciu przestarzałej, czasowej metody opartej na MD5 zamiast kryptograficznie bezpiecznego generatora liczb losowych (CSPRNG). Niska entropia wynikowych tokenów pozwala atakującemu na przewidzenie lub odgadnięcie aktywnych identyfikatorów sesji i przejęcie kont API.

pub. 2026-05-15
9.3
CVSS
CRITICAL
CVE-2025-66565

W bibliotece Gofiber Utils w wersjach 2.0.0-rc.3 i wcześniejszych funkcje generowania UUID po cichu przełączają się na przewidywalne wartości, gdy systemowy generator liczb losowych (crypto/rand) zawiedzie. Atakujący może przewidzieć lub odgadnąć generowane identyfikatory, kompromitując bezpieczeństwo aplikacji korzystających z nich w operacjach wymagających kryptograficznej losowości.

pub. 2025-12-09
9.1
CVSS
CRITICAL
CVE-2025-67504

WBCE CMS w wersjach 1.6.4 i wcześniejszych używa kryptograficznie niezabezpieczonej funkcji PHP rand() do generowania haseł, co pozwala atakującemu przewidzieć lub metodą brute-force odtworzyć wygenerowane hasła. W konsekwencji możliwe jest przejęcie kont użytkowników lub privilege escalation.

pub. 2025-12-09
Pokazano 20 z 149 podatności
Informacje
ID: CWE-331
Typ: Base
Podatności: 149
MITRE CWE ↗
← Słownik CWE