PT-2026-57148 · Unknown · R-Soft Dms

Marek Figielski

·

Publicado

2026-07-10

·

Atualizado

2026-07-10

·

CVE-2026-41879

CVSS v4.0

8.2

Alta

VetorAV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
Nome do Software Vulnerável e Versões Afetadas R-SOFT DMS versões anteriores a v3.17-2000
Descrição O software armazena as credenciais do superadministrador usando um hash MD5 aninhado e sem salt em sua configuração. Este armazenamento inadequado de credenciais utiliza criptografia obsoleta, tornando o hash da senha um segredo recuperável por meio de ataques de rainbow-table e quebra offline. Um invasor que obtenha o hash armazenado — via acesso local, vazamento de backup ou divulgação de arquivos — pode recuperar a senha do superadministrador. Isso é particularmente crítico, pois a senha não pode ser alterada através da interface do usuário, exigindo a modificação do arquivo de configuração. A exploração bem-sucedida resulta em controle administrativo total sobre a instância, permitindo acesso a dados, adulteração e a tomada de controle do serviço.
Recomendações Atualizar para a versão v3.17-2000.

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-41879

Produtos afetados

R-Soft Dms