CVE-2026-34527Sandboxie-Plus是一款开源的Windows沙盒隔离软件。在1.17.2及更早版本中,`SbieIniServer::HashPassword`函数存在严重的密码学实现错误。由于将SHA-1摘要转换为十六进制时位移操作失误,导致存储的密码哈希仅保留了每个字节的低位,有效熵从160位大幅降至80位。结合未加盐的SHA-1方案,这使得泄露的哈希极易被暴力破解。
该漏洞源于Sandboxie-Plus在处理管理员密码哈希时的代码逻辑错误。具体而言,在`SbieIniServer::HashPassword`函数中,程序试图将SHA-1摘要的每个字节转换为十六进制字符串以便存储。正常逻辑应将高4位右移4位以获取十六进制的高位值,但代码错误地将其右移了8位。由于8位数值右移8位结果恒为0,导致哈希字符串的高位字符始终丢失。最终,存储的EditPassword哈希仅保留了SHA-1摘要中每个字节的低4位信息。这使得原本160位的安全熵值大幅缩减至80位。更严重的是,该哈希机制未采用加盐措施。攻击者若通过文件读取或备份泄露获取到该哈希值,可以利用GPU加速的离线暴力破解工具,在极短时间内还原明文密码,从而完全控制沙盒配置。