Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

debian логотип

CVE-2024-3096

Опубликовано: 29 апр. 2024
Источник: debian
EPSS Низкий

Описание

In PHP  version 8.1.* before 8.1.28, 8.2.* before 8.2.18, 8.3.* before 8.3.5, if a password stored with password_hash() starts with a null byte (\x00), testing a blank string as the password via password_verify() will incorrectly return true.

Пакеты

ПакетСтатусВерсия исправленияРелизТип
php8.2fixed8.2.18-1package
php7.4removedpackage
php7.3removedpackage

Примечания

  • Fixed in: 8.2.18, 8.1.28

  • https://github.com/php/php-src/security/advisories/GHSA-h746-cjrr-wfmr

  • https://github.com/php/php-src/commit/0ba5229a3f7572846e91c8f5382e87785f543826

EPSS

Процентиль: 43%
0.00205
Низкий

Связанные уязвимости

ubuntu логотип

CVE-2024-3096

CVSS3: 6.5
ubuntu
около 1 года назад

In PHP version 8.1.* before 8.1.28, 8.2.* before 8.2.18, 8.3.* before 8.3.5, if a password stored with password_hash() starts with a null byte (\x00), testing a blank string as the password via password_verify() will incorrectly return true.

redhat логотип

CVE-2024-3096

CVSS3: 4.8
redhat
около 1 года назад

In PHP  version 8.1.* before 8.1.28, 8.2.* before 8.2.18, 8.3.* before 8.3.5, if a password stored with password_hash() starts with a null byte (\x00), testing a blank string as the password via password_verify() will incorrectly return true.

nvd логотип

CVE-2024-3096

CVSS3: 6.5
nvd
около 1 года назад

In PHP  version 8.1.* before 8.1.28, 8.2.* before 8.2.18, 8.3.* before 8.3.5, if a password stored with password_hash() starts with a null byte (\x00), testing a blank string as the password via password_verify() will incorrectly return true.

msrc логотип

CVE-2024-3096

CVSS3: 6.5
msrc
около 1 года назад

Описание отсутствует

github логотип

GHSA-h746-cjrr-wfmr

github
около 1 года назад

password_verify can erroneously return true, opening ATO risk

EPSS

Процентиль: 43%
0.00205
Низкий