CVE-2022-24784 in Statamicinfo

Zusammenfassung

von VulDB • 10.07.2026

Statamic ist ein CMS, das auf Laravel und Git basiert. Vor den Versionen 3.2.39 und 3.3.2 besteht die Möglichkeit, durch einen speziell konstruierten regulären Ausdruck im Filter des Benutzers-Endpunkts der REST-API zu bestätigen, ob ein einzelnes Zeichen eines Benutzer-Passwort-Hashes korrekt ist. Mehrere solche Anfragen können schließlich den gesamten Hash aufdecken. Der Hash selbst ist nicht in der Antwort enthalten; jedoch bestätigt das Vorhandensein oder Fehlen eines Ergebnisses, ob sich das Zeichen an der richtigen Position befindet. Die API hat standardmäßig eine Drosselung (Throttling) aktiviert, was diese Aufgabe zeitintensiv macht. Sowohl die REST-API als auch der Benutzers-Endpunkt müssen aktiviert sein, da sie standardmäßig deaktiviert sind. Das Problem wurde in den Versionen 3.2.39 und höher sowie 3.3.2 und höher behoben.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

GitHub, Inc.

Reservieren

10.02.2022

Veröffentlichung

26.03.2022

Moderieren

akzeptiert

Eintrag

VDB-195843

CPE

bereit

EPSS

0.00994

KEV

nein

Aktivitäten

very low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!