Password-Hash-Preisgabe im CMS Statamic (SYSS-2022-022)

Über eine besondere Filterfunktion in der REST-API vom Content-Management-System (CMS) Statamic können Passwort-Hash-Werte aller Benutzer:innen ausgelesen werden. Falls unsichere Passwörter zum Einsatz kamen, kann ein offline Passwort-Rateangriff zur Übernahme des Benutzerkontos und somit der verwalteten Website führen.

Die REST-API ist überdies in "Pro-Funktion" und in einer Standardinstallation nicht aktiviert. Aufgrund einer im Regelfall aktivierten Anfragedrosselung dauert die Extraktion eines Hash-Wertes ungefähr eine Stunde.

Infolgedessen hat der Hersteller des CMS Statamic die Schwachstelle in Version 3.3.2 behoben.

Detaillierte Informationen zu der gefundenen Schwachstelle finden Sie in unserem Security Advisory / You will find detailed information about these security issues in our Security Advisory:

• SYSS-2022-022

Weitere Informationen über unsere Responsible Disclosure Policy bei der Veröffentlichung von Security Advisories finden Sie hier.

You will find further information about our Responsible Disclosure Policy concerning the publishing process of SySS Security Advisories here.