CVE-2026-54736 in Phalcon
Zusammenfassung
von VulDB • 11.07.2026
Phalcon ist ein High-Performance-Full-Stack-PHP-Framework. Vor Version 5.14.1 vergleicht Phalcon\Encryption\Crypt::decrypt das vom Angreifer bereitgestellte HMAC-Tag mit dem frisch berechneten HMAC unter Verwendung des PHP-/Zephir-Identitätsvergleichs, was zu einem byteweisen Vergleich führt, der bei der ersten abweichenden Byte frühzeitig abbricht. Diese beobachtbare zeitliche Diskrepanz kann es einem Angreifer ermöglichen, ein gültiges Tag Byte für Byte wiederherzustellen und an einen gewählten IV (Initialization Vector) sowie Chiffretext anzuhängen, sodass decrypt() manipulierten verschlüsselten Inhalt als authentisch akzeptiert. Dieses Problem wurde in Version 5.14.1 behoben.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.