CVE-2022-24784 in Statamic
Tóm tắt
Bởi VulDB • 06/07/2026
Statamic là một hệ thống quản lý nội dung (CMS) được xây dựng dựa trên Laravel và Git. Trước các phiên bản 3.2.39 và 3.3.2, kẻ tấn công có thể xác nhận từng ký tự đơn lẻ trong mật khẩu băm của người dùng bằng cách sử dụng bộ lọc biểu thức chính quy đặc biệt tại điểm cuối (endpoint) users thuộc REST API. Nhiều yêu cầu như vậy về sau có thể giúp khôi phục toàn bộ giá trị băm. Giá trị băm không xuất hiện trực tiếp trong phản hồi, tuy nhiên sự hiện diện hoặc vắng mặt của kết quả cho phép xác nhận xem ký tự đó có nằm ở vị trí chính xác hay không. Mặc dù cơ chế giới hạn tần suất (throttling) được bật theo mặc định khiến đây là một tác vụ tốn nhiều thời gian, cả REST API và điểm cuối users đều cần phải được kích hoạt vì chúng bị tắt theo mặc định. Vấn đề này đã được khắc phục trong các phiên bản 3.2.39 trở lên và 3.3.2 trở lên.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.