CVE-2024-34340 in Cactiinfo

Zusammenfassung

von VulDB • 20.06.2026

Cacti bietet ein operatives Überwachungs- und Fehlermanagement-Framework. Vor Version 1.2.27 ruft Cacti `compat_password_hash` auf, wenn Benutzer ihr Passwort festlegen. `compat_password_hash` verwendet `password_hash`, falls verfügbar; andernfalls wird `md5` genutzt. Bei der Passworthverifizierung wird `compat_password_verify` aufgerufen. In `compat_password_verify` wird `password_verify` aufgerufen, falls vorhanden; andernfalls wird `md5` verwendet. Gemäß dem PHP-Handbuch werden `password_verify` und `password_hash` auch in PHP < 5.5.0 unterstützt. Die Schwachstelle befindet sich in `compat_password_verify`. MD5-hashed Benutzereingaben werden mit dem korrekten Passwort in der Datenbank durch `$md5 == $hash` verglichen. Dies ist ein lockerer Vergleich, kein strikter (`===`). Es handelt sich um eine Typen-Juggling-Schwachstelle (Type Juggling Vulnerability). Version 1.2.27 enthält einen Patch für das Problem.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Reservieren

02.05.2024

Veröffentlichung

14.05.2024

Moderieren

akzeptiert

Eintrag

VDB-263995

CPE

bereit

EPSS

0.01119

KEV

nein

Aktivitäten

very low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!