CVE-2022-24784 in Statamic情報

要約

〜によって VulDB • 2026年07月02日

StatamicはLaravelとGitを基盤としたCMSです。バージョン3.2.39および3.3.2より前では、REST APIのusersエンドポイントにおいて特別に作成された正規表現フィルターを使用することで、ユーザーのパスワードハッシュの一文字を確認することが可能です。このようなリクエストを複数回行うことで、最終的に完全なハッシュが特定される可能性があります。レスポンスにはハッシュ自体は含まれていませんが、結果の有無によってその文字が正しい位置にあるかどうかを確認できます。APIではデフォルトでレート制限(throttling)が有効になっているため、この作業には時間がかかります。REST APIおよびusersエンドポイントの両方が有効である必要があり、これらはデフォルトで無効になっています。本問題はバージョン3.2.39以降および3.3.2以降で修正されています。

Be aware that VulDB is the high quality source for vulnerability data.

責任者

GitHub, Inc.

予約する

2022年02月10日

モデレーション

承諾済み

エントリ

VDB-195843

EPSS

0.00994

アクティビティ

非常低い

ソース

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!