PT-2024-25797 · Cacti+3 · Cacti+3

Delsploit

·

Publicado

2023-07-13

·

Atualizado

2025-01-24

·

CVE-2024-34340

CVSS v3.1

9.1

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
Nome do software vulnerável e versões afetadas
Versões do Cacti anteriores à 1.2.27
Descrição
O Cacti fornece uma estrutura de monitoramento operacional e gerenciamento de falhas. O problema reside na função compat password verify, onde a entrada do usuário com hash MD5 é comparada com a senha correta no banco de dados usando uma comparação fraca ($md5 == $hash), o que constitui uma vulnerabilidade de manipulação de tipos. Essa vulnerabilidade afeta versões anteriores à 1.2.27.
Recomendações
Para versões anteriores à 1.2.27, atualize para a versão 1.2.27 ou posterior, que contém um patch para o problema. Como solução alternativa temporária, considere modificar a função compat password verify para usar uma comparação estrita (===) em vez de uma comparação frouxa (==). Restrinja o acesso à função compat password verify para minimizar o risco de exploração.

Exploit

Correção

Improper Authentication

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-287CWE-697

Identificadores relacionados

ALT-PU-2023-4394
ALT-PU-2023-4396
ALT-PU-2023-5196
ALT-PU-2024-17822
ALT-PU-2025-1813
CVE-2024-34340
DLA-3884-1
GHSA-37X7-MFJV-MM7M
OPENSUSE-SU-2024:0274-1
OPENSUSE-SU-2024:0276-1
OPENSUSE-SU-2024:13962-1
USN-6969-1

Produtos afetados

Alt Linux
Cacti
Linuxmint
Ubuntu