Password-Hash-Preisgabe im CMS Statamic (SYSS-2022-022)

Ein Security Advisory von IT Security Consultant Thibaud Kehler

Über eine besondere Filterfunktion in der REST-API vom Content-Management-System (CMS) Statamic können Passwort-Hash-Werte aller Benutzer:innen ausgelesen werden. Falls unsichere Passwörter zum Einsatz kamen, kann ein offline Passwort-Rateangriff zur Übernahme des Benutzerkontos und somit der verwalteten Website führen.

Die REST-API ist überdies in "Pro-Funktion" und in einer Standardinstallation nicht aktiviert. Aufgrund einer im Regelfall aktivierten Anfragedrosselung dauert die Extraktion eines Hash-Wertes ungefähr eine Stunde.

Infolgedessen hat der Hersteller des CMS Statamic die Schwachstelle in Version 3.3.2 behoben.

Detaillierte Informationen zu der gefundenen Schwachstelle finden Sie in unserem Security Advisory / You will find detailed information about these security issues in our Security Advisory:

Weitere Informationen über unsere Responsible Disclosure Policy bei der Veröffentlichung von Security Advisories finden Sie hier.

You will find further information about our Responsible Disclosure Policy concerning the publishing process of SySS Security Advisories here.

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Direkter Kontakt

+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN

+49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer