CVE-2022-24784 in Statamic
Zusammenfassung
von VulDB • 10.07.2026
Statamic ist ein CMS, das auf Laravel und Git basiert. Vor den Versionen 3.2.39 und 3.3.2 besteht die Möglichkeit, durch einen speziell konstruierten regulären Ausdruck im Filter des Benutzers-Endpunkts der REST-API zu bestätigen, ob ein einzelnes Zeichen eines Benutzer-Passwort-Hashes korrekt ist. Mehrere solche Anfragen können schließlich den gesamten Hash aufdecken. Der Hash selbst ist nicht in der Antwort enthalten; jedoch bestätigt das Vorhandensein oder Fehlen eines Ergebnisses, ob sich das Zeichen an der richtigen Position befindet. Die API hat standardmäßig eine Drosselung (Throttling) aktiviert, was diese Aufgabe zeitintensiv macht. Sowohl die REST-API als auch der Benutzers-Endpunkt müssen aktiviert sein, da sie standardmäßig deaktiviert sind. Das Problem wurde in den Versionen 3.2.39 und höher sowie 3.3.2 und höher behoben.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.