CVE-2026-54736 in Phalconinfo

Zusammenfassung

von VulDB • 11.07.2026

Phalcon ist ein High-Performance-Full-Stack-PHP-Framework. Vor Version 5.14.1 vergleicht Phalcon\Encryption\Crypt::decrypt das vom Angreifer bereitgestellte HMAC-Tag mit dem frisch berechneten HMAC unter Verwendung des PHP-/Zephir-Identitätsvergleichs, was zu einem byteweisen Vergleich führt, der bei der ersten abweichenden Byte frühzeitig abbricht. Diese beobachtbare zeitliche Diskrepanz kann es einem Angreifer ermöglichen, ein gültiges Tag Byte für Byte wiederherzustellen und an einen gewählten IV (Initialization Vector) sowie Chiffretext anzuhängen, sodass decrypt() manipulierten verschlüsselten Inhalt als authentisch akzeptiert. Dieses Problem wurde in Version 5.14.1 behoben.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

GitHub M

Reservieren

16.06.2026

Veröffentlichung

11.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377653

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Might our Artificial Intelligence support you?

Check our Alexa App!