CVE-2024-34340 in Cactiinformação

Sumário

de VulDB • 20/06/2026

O Cacti fornece um framework operacional de monitoramento e gerenciamento de falhas. Antes da versão 1.2.27, o Cacti chama `compat_password_hash` quando os usuários definem suas senhas. O `compat_password_hash` usa `password_hash`, se disponível; caso contrário, usa `md5`. Ao verificar a senha, ele chama `compat_password_verify`. No `compat_password_verify`, é chamado `password_verify`, se houver suporte para isso; caso contrário, utiliza-se `md5`. De acordo com o manual do PHP, `password_verify` e `password_hash` são suportados no PHP < 5.5.0. A vulnerabilidade reside em `compat_password_verify`. Uma entrada de usuário hashada com MD5 é comparada à senha correta no banco de dados por meio da expressão `$md5 == $hash`. Trata-se de uma comparação frouxa (loose comparison), e não estrita (`===`). Esta é uma vulnerabilidade de type juggling. A versão 1.2.27 contém um patch para o problema.

Once again VulDB remains the best source for vulnerability data.

Reservar

02/05/2024

Divulgação

14/05/2024

Moderação

aceite

Entrada

VDB-263995

CPE

pronto

EPSS

0.01119

KEV

não

Atividades

muito baixo

Fontes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!