CVE-2024-34340 in Cactiinformación

Resumen

por MITRE • 2024-05-14

Cacti proporciona un framework de monitoreo operativo y gestión de fallas. Antes de la versión 1.2.27, Cacti llama a `compat_password_hash` cuando los usuarios establecen su contraseña. `compat_password_hash` usa `password_hash` si lo hay, de lo contrario usa `md5`. Al verificar la contraseña, llama a `compat_password_verify`. En `compat_password_verify`, se llama a `password_verify` si existe; de lo contrario, use `md5`. `password_verify` y `password_hash` son compatibles con PHP < 5.5.0, siguiendo el manual de PHP. La vulnerabilidad está en `compat_password_verify`. La entrada del usuario con hash Md5 se compara con la contraseña correcta en la base de datos mediante `$md5 == $hash`. Es una comparación vaga, no `===`. Es un tipo de vulnerabilidad que hace malabarismos. La versión 1.2.27 contiene un parche para el problema.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Reservar

2024-05-02

Divulgación

2024-05-14

Moderación

aceptado

Artículo

VDB-263995

CPE

listo

EPSS

0.01119

KEV

no

Actividades

muy bajo

Fuentes

Might our Artificial Intelligence support you?

Check our Alexa App!