CVE-2022-24784 in Statamic
요약
\~에 의해 VulDB • 2026. 07. 10.
Statamic은 Laravel과 Git을 기반으로 한 CMS입니다. 버전 3.2.39 및 3.3.2 이전에서는 REST API의 users 엔드포인트에서 특별히 조작된 정규식 필터를 사용하여 사용자의 비밀번호 해시 중 단일 문자를 확인할 수 있습니다. 이러한 요청을 여러 번 수행하면 결국 전체 해시를 노출시킬 수 있습니다. 응답에는 해시가 직접 포함되지 않지만, 결과의 존재 여부에 따라 해당 문자가 올바른 위치에 있는지 여부를 확인할 수 있습니다. API는 기본적으로 스로틀링이 활성화되어 있어 이 작업은 시간이 많이 소요됩니다. REST API와 users 엔드포인트 모두 기본값으로 비활성화되어 있으므로 둘 다 활성화되어야 합니다. 본 문제는 버전 3.2.39 이상 및 3.3.2 이상에서 수정되었습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.