CVE-2026-54736 in Phalcon정보

요약

\~에 의해 VulDB • 2026. 07. 11.

Phalcon은 고성능 풀스택 PHP 프레임워크입니다. 버전 5.14.1 이전의 Phalcon\Encryption\Crypt::decrypt는 공격자가 제공한 HMAC 태그를 새로 계산된 HMAC와 PHP/Zephir의 동일성 비교(identity comparison)로 대조하는데, 이는 첫 번째로 다른 바이트에서 조기에 반환하는 바이트 단위(byte-wise) 비교로 이어집니다. 이러한 관찰 가능한 타이밍 차이를 통해 공격자는 유효한 태그를 바이트 단위로 복원하고 선택된 IV 및 암호문과 결합하여 decrypt()가 변조된 암호화 콘텐츠를 인증된 것으로 받아들이도록 할 수 있습니다. 이 문제는 버전 5.14.1에서 수정되었습니다.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

책임이 있는

GitHub M

예약하다

2026. 06. 16.

모더레이션

수락

항목

VDB-377653

EPSS

0.00000

출처

Want to stay up to date on a daily basis?

Enable the mail alert feature now!