CVE-2026-1814

EPSS 0.01%
Veröffentlicht 03.02.2026 15:16:14
Zuletzt bearbeitet 09.02.2026 20:15:56
Quelle cve@rapid7.com
CVE-Watchlists
Login
Unerledigt
Login

Rapid7 Nexpose versions 6.4.50 and later are vulnerable to an insufficient entropy issue in the CredentialsKeyStorePassword.generateRandomPassword() method. When updating legacy keystore passwords, the application generates a new password with insufficient length (7-12 characters) and a static prefix 'p', resulting in a weak keyspace. An attacker with access to the nsc.ks file can brute-force this password using consumer-grade hardware to decrypt stored credentials.

Betroffene Produkte Warnungen 0 Metriken 2 CWE 1 Referenzen 4

Verknüpft mit AI von unstrukturierten Daten zu bestehenden CPE der NVD

Diese Information steht angemeldeten Benutzern zur Verfügung.

Daten sind bereitgestellt durch das CVE Programm von einer CVE Numbering Authority (CNA) (Unstrukturiert).

HerstellerRapid7

≫

Produkt InsightVM/Nexpose

Default Statusunaffected

Version < 8.36.0

Version 6.4.50

Status affected

Zu dieser CVE wurde keine CISA KEV oder CERT.AT-Warnung gefunden.

EPSS Metriken
Typ	Quelle	Score	Percentile
EPSS	FIRST.org	0.01%	0.004

CVSS Metriken
Quelle	Base Score	Exploit Score	Impact Score	Vector String
cve@rapid7.com	6.8	0	0	CVSS:4.0/AV:L/AC:H/AT:N/PR:H/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

CWE-331 Insufficient Entropy

The product uses an algorithm or scheme that produces insufficient entropy, leaving patterns or clusters of values that are more likely to occur than others.

https://www.atredis.com/disclosure

https://nvd.nist.gov/vuln/detail/CVE-2026-1814

CVE Source (NVD)

https://cveawg.mitre.org/api/cve/CVE-2026-1814

CVE Source (JSON)

https://euvd.enisa.europa.eu/vulnerability/CVE-2026-1814

EUVD

Team-orientierte Vulnerability Management Plattform

Features der Plattform

CVE-2026-1814