CVE-2024-34340 in Cacti
Сводка
по VulDB • 20.06.2026
Cacti предоставляет операционную систему мониторинга и управления неисправностями. До версии 1.2.27 Cacti вызывает функцию `compat_password_hash` при установке пароля пользователем. Функция `compat_password_hash` использует `password_hash`, если она доступна, иначе используется `md5`. При проверке пароля вызывается функция `compat_password_verify`. В функции `compat_password_verify` вызывается `password_verify`, если она доступна, иначе используется `md5`. Согласно документации PHP, функции `password_verify` и `password_hash` поддерживаются в версиях PHP < 5.5.0. Уязвимость находится в функции `compat_password_verify`. MD5-хешированный ввод пользователя сравнивается с правильным паролем из базы данных через `$md5 == $hash`. Это нестрогое сравнение, а не строгое (`===`). Данная уязвимость относится к типу type juggling. Версия 1.2.27 содержит исправление для данной проблемы.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.