Manifest Uses a One-Way Hash without a Salt 漏洞信息(CVE-2025-27408)

一、漏洞 CVE-2025-27408 基础信息

AIGC 神龙大模型
美国国家漏洞数据库 NVD

漏洞标题

Manifest 使用无盐单向哈希

来源：AIGC 神龙大模型

漏洞描述信息

Manifest为用户提供了一个单文件微后端。在4.9.1版本之前，Manifest使用了不安全的密码哈希实现，该实现使用SHA3但没有加盐。如果攻击者获取了数据库的访问权限，这将使用户密码面临更高的被破解风险。由于没有使用加盐，多名用户如果使用相同的密码，将会生成相同的哈希值，这使得攻击者更容易识别和利用这些模式，从而加速破解过程。4.9.1版本修复了该问题。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

来源：AIGC 神龙大模型

漏洞类别

使用已被攻破或存在风险的密码学算法

来源：AIGC 神龙大模型

漏洞标题

Manifest Uses a One-Way Hash without a Salt

来源：美国国家漏洞数据库 NVD

漏洞描述信息

Manifest offers users a one-file micro back end. Prior to version 4.9.2, Manifest employs a weak password hashing implementation that uses SHA3 without a salt. This exposes user passwords to a higher risk of being cracked if an attacker gains access to the database. Without the use of a salt, identical passwords across multiple users will result in the same hash, making it easier for attackers to identify and exploit patterns, thereby accelerating the cracking process. Version 4.9.2 fixes the issue.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

使用未加Salt的单向哈希算法

来源：美国国家漏洞数据库 NVD

二、漏洞 CVE-2025-27408 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2025-27408 的情报信息

标题： Use of a One-Way Hash without a Salt in manifest · Advisory · mnfst/manifest · GitHub -- 🔗来源链接

标签： x_refsource_CONFIRM
标题： Merge commit from fork · mnfst/manifest@3ed6f13 · GitHub -- 🔗来源链接

标签： x_refsource_MISC
https://nvd.nist.gov/vuln/detail/CVE-2025-27408

一、 漏洞 CVE-2025-27408 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-27408 的公开POC

三、漏洞 CVE-2025-27408 的情报信息

一、漏洞 CVE-2025-27408 基础信息