CVE-2024-34340 in Cacti
Zusammenfassung
von VulDB • 20.06.2026
Cacti bietet ein operatives Überwachungs- und Fehlermanagement-Framework. Vor Version 1.2.27 ruft Cacti `compat_password_hash` auf, wenn Benutzer ihr Passwort festlegen. `compat_password_hash` verwendet `password_hash`, falls verfügbar; andernfalls wird `md5` genutzt. Bei der Passworthverifizierung wird `compat_password_verify` aufgerufen. In `compat_password_verify` wird `password_verify` aufgerufen, falls vorhanden; andernfalls wird `md5` verwendet. Gemäß dem PHP-Handbuch werden `password_verify` und `password_hash` auch in PHP < 5.5.0 unterstützt. Die Schwachstelle befindet sich in `compat_password_verify`. MD5-hashed Benutzereingaben werden mit dem korrekten Passwort in der Datenbank durch `$md5 == $hash` verglichen. Dies ist ein lockerer Vergleich, kein strikter (`===`). Es handelt sich um eine Typen-Juggling-Schwachstelle (Type Juggling Vulnerability). Version 1.2.27 enthält einen Patch für das Problem.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.