CVE-2026-34527

Nome do Software Vulnerável e Versões Afetadas Sandboxie-Plus versões anteriores a 1.17.3

Descrição A função SbieIniServer::HashPassword() converte incorretamente um digest SHA-1 para hexadecimal, deslocando o nibble alto de cada byte para a direita em 8 em vez de 4. Esse processo faz com que o nibble alto seja sempre zero para um valor de 8 bits, o que significa que o hash EditPassword armazenado preserva apenas o nibble baixo de cada byte do digest. Consequentemente, a entropia efetiva é reduzida de 160 bits para 80 bits. Essa falha, combinada com um esquema SHA-1 sem salt, torna os hashes de senha vazados ou copiados de segurança significativamente mais fáceis de sofrer ataques de força bruta.

Recomendações Atualize para a versão 1.17.3.