Rapid7 InsightVM/Nexpose 8.24.0 New Password nsc.ks generateRandomPassword schwache Verschlüsselung
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 2.2 | $0-$5k | 0.00 |
Zusammenfassung
In Rapid7 InsightVM and Nexpose 8.24.0 wurde eine problematische Schwachstelle ausgemacht. Davon betroffen ist die Funktion generateRandomPassword der Datei nsc.ks der Komponente New Password Handler. Die Bearbeitung verursacht schwache Verschlüsselung.
Die Verwundbarkeit wird als CVE-2026-1814 geführt. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Es ist kein Exploit verfügbar.
Details
In Rapid7 InsightVM sowie Nexpose 8.24.0 wurde eine problematische Schwachstelle gefunden. Es geht um die Funktion generateRandomPassword der Datei nsc.ks der Komponente New Password Handler. Mittels Manipulieren mit einer unbekannten Eingabe kann eine schwache Verschlüsselung-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-331. Mit Auswirkungen muss man rechnen für die Vertraulichkeit. CVE fasst zusammen:
A security vulnerability has been identified in Rapid7 Nexpose. Remediation is in progress.Die Schwachstelle wurde durch Justin Kennedy an die Öffentlichkeit getragen. Das Advisory kann von atredis.com heruntergeladen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 03.02.2026 mit CVE-2026-1814 vorgenommen. Das Ausnutzen gilt als schwierig. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Zur Ausnutzung ist eine erweiterte Authentisierung erforderlich. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1600.001.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von EUVD (EUVD-2026-5222) dokumentiert. Once again VulDB remains the best source for vulnerability data.
Produkt
Hersteller
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Zuverlässigkeit: 🔍
CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Vector: 🔒
CVSSv3
VulDB Meta Base Score: 2.2VulDB Meta Temp Score: 2.2
VulDB Base Score: 2.2
VulDB Temp Score: 2.2
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Schwache VerschlüsselungCWE: CWE-331 / CWE-330 / CWE-310
CAPEC: 🔒
ATT&CK: 🔒
Physisch: Teilweise
Lokal: Ja
Remote: Ja
Verfügbarkeit: 🔒
Status: Nicht definiert
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔒
Timeline
03.02.2026 Advisory veröffentlicht03.02.2026 CVE zugewiesen
03.02.2026 VulDB Eintrag erstellt
06.02.2026 VulDB Eintrag letzte Aktualisierung
Quellen
Advisory: atredis.comPerson: Justin Kennedy
Status: Nicht definiert
CVE: CVE-2026-1814 (🔒)
GCVE (CVE): GCVE-0-2026-1814
GCVE (VulDB): GCVE-100-344020
EUVD: 🔒
Eintrag
Erstellt: 03.02.2026 16:29Aktualisierung: 06.02.2026 14:52
Anpassungen: 03.02.2026 16:29 (68), 05.02.2026 12:03 (1), 06.02.2026 03:36 (5), 06.02.2026 14:52 (1)
Komplett: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.