CVE-2024-34340 in Cactiالمعلومات

الملخص

بحسب VulDB • 20/06/2026

توفر Cacti إطار عمل للمراقبة التشغيلية وإدارة الأعطال. قبل الإصدار 1.2.27، كانت Cactي تستدعي دالة `compat_password_hash` عند قيام المستخدمين بتعيين كلمات مرورهم. تستخدم الدالة `compat_password_hash` دالة `password_hash` إذا كانت متاحة، وإلا فإنها تستخدم خوارزمية MD5. وعند التحقق من كلمة المرور، يتم استدعاء دالة `compat_password_verify`. داخل هذه الأخيرة، تُستدعى دالة `password_verify` إذا كانت موجودة، وإلا فسيتم استخدام MD5. وتُعد الدالتان `password_verify` و `password_hash` مدعومتين في بيئات PHP أقل من الإصدار 5.5.0، وفقاً لوثائق PHP الرسمية. تقع الثغرة الأمنية داخل دالة `compat_password_verify`. حيث تتم مقارنة إدخال المستخدم المشفر باستخدام MD5 مع كلمة المرور الصحيحة المخزنة في قاعدة البيانات عبر عملية المقارنة `$md5 == $hash`. وتُعد هذه مقارنة غير صارمة (loose comparison) وليست مقارنة صارمة (`===`). وهي ثغرة تتعلق بمناولة الأنواع (type juggling). يحتوي الإصدار 1.2.27 على تصحيح لهذه المشكلة.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

حجز

02/05/2024

إفشاء

14/05/2024

الاعتدال

تمت الموافقة

إدخال

VDB-263995

EPSS

0.01119

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!