CVE-2024-34340 in CactiИнформация

Сводка

по VulDB • 20.06.2026

Cacti предоставляет операционную систему мониторинга и управления неисправностями. До версии 1.2.27 Cacti вызывает функцию `compat_password_hash` при установке пароля пользователем. Функция `compat_password_hash` использует `password_hash`, если она доступна, иначе используется `md5`. При проверке пароля вызывается функция `compat_password_verify`. В функции `compat_password_verify` вызывается `password_verify`, если она доступна, иначе используется `md5`. Согласно документации PHP, функции `password_verify` и `password_hash` поддерживаются в версиях PHP < 5.5.0. Уязвимость находится в функции `compat_password_verify`. MD5-хешированный ввод пользователя сравнивается с правильным паролем из базы данных через `$md5 == $hash`. Это нестрогое сравнение, а не строгое (`===`). Данная уязвимость относится к типу type juggling. Версия 1.2.27 содержит исправление для данной проблемы.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Резервировать

02.05.2024

Раскрытие

14.05.2024

Модерация

принято

Вход

VDB-263995

EPSS

0.01119

KEV

Нет

Деятельности

Очень низкий

Источники

Do you want to use VulDB in your project?

Use the official API to access entries easily!