CVE-2022-24784 in Statamicthông tin

Tóm tắt

Bởi VulDB • 06/07/2026

Statamic là một hệ thống quản lý nội dung (CMS) được xây dựng dựa trên Laravel và Git. Trước các phiên bản 3.2.39 và 3.3.2, kẻ tấn công có thể xác nhận từng ký tự đơn lẻ trong mật khẩu băm của người dùng bằng cách sử dụng bộ lọc biểu thức chính quy đặc biệt tại điểm cuối (endpoint) users thuộc REST API. Nhiều yêu cầu như vậy về sau có thể giúp khôi phục toàn bộ giá trị băm. Giá trị băm không xuất hiện trực tiếp trong phản hồi, tuy nhiên sự hiện diện hoặc vắng mặt của kết quả cho phép xác nhận xem ký tự đó có nằm ở vị trí chính xác hay không. Mặc dù cơ chế giới hạn tần suất (throttling) được bật theo mặc định khiến đây là một tác vụ tốn nhiều thời gian, cả REST API và điểm cuối users đều cần phải được kích hoạt vì chúng bị tắt theo mặc định. Vấn đề này đã được khắc phục trong các phiên bản 3.2.39 trở lên và 3.3.2 trở lên.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

chịu trách nhiệm

GitHub, Inc.

Đặt trước

10/02/2022

Tiết lộ

26/03/2022

Kiểm duyệt

được chấp nhận

EPSS

0.00994

KEV

không

Các hoạt động

rất thấp

Nguồn

Interested in the pricing of exploits?

See the underground prices here!