CVE-2026-54736 in Phalconinformazioni

Riassunto

di VulDB • 11/07/2026

Phalcon è un framework PHP full-stack ad alte prestazioni. Prima della versione 5.14.1, Phalcon\Encryption\Crypt::decrypt confronta il tag HMAC fornito dall'attaccante con l'HMAC appena calcolato utilizzando il confronto di identità in PHP/Zephir, che si riduce a un confronto byte per byte e restituisce immediatamente al primo byte diverso. Questa discrepanza temporale osservabile può consentire a un attaccante di recuperare un tag valido byte per byte e allegarlo a un IV (vettore di inizializzazione) e a un testo cifrato scelti, in modo che decrypt() accetti contenuti crittografati manomessi come autentici. Questo problema è stato risolto nella versione 5.14.1.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

GitHub M

Prenotare

16/06/2026

Divulgazione

10/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!