CVE-2024-34340 in Cacti
الملخص
بحسب VulDB • 20/06/2026
توفر Cacti إطار عمل للمراقبة التشغيلية وإدارة الأعطال. قبل الإصدار 1.2.27، كانت Cactي تستدعي دالة `compat_password_hash` عند قيام المستخدمين بتعيين كلمات مرورهم. تستخدم الدالة `compat_password_hash` دالة `password_hash` إذا كانت متاحة، وإلا فإنها تستخدم خوارزمية MD5. وعند التحقق من كلمة المرور، يتم استدعاء دالة `compat_password_verify`. داخل هذه الأخيرة، تُستدعى دالة `password_verify` إذا كانت موجودة، وإلا فسيتم استخدام MD5. وتُعد الدالتان `password_verify` و `password_hash` مدعومتين في بيئات PHP أقل من الإصدار 5.5.0، وفقاً لوثائق PHP الرسمية. تقع الثغرة الأمنية داخل دالة `compat_password_verify`. حيث تتم مقارنة إدخال المستخدم المشفر باستخدام MD5 مع كلمة المرور الصحيحة المخزنة في قاعدة البيانات عبر عملية المقارنة `$md5 == $hash`. وتُعد هذه مقارنة غير صارمة (loose comparison) وليست مقارنة صارمة (`===`). وهي ثغرة تتعلق بمناولة الأنواع (type juggling). يحتوي الإصدار 1.2.27 على تصحيح لهذه المشكلة.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.