CVE-2024-56145
RCE when PHP `register_argc_argv` config setting is enabled in craftcms/cms
Em resumo
O Craft CMS permite que atacantes executem código malicioso em servidores que têm uma configuração específica do PHP (`register_argc_argv`) ativada. É uma falha crítica que pode dar controle total da aplicação aos invasores.
Detalhe técnico
Existe uma vulnerabilidade de execução remota de código no Craft CMS quando a diretiva de configuração `register_argc_argv` do PHP está habilitada, permitindo que atacantes não autenticados executem código arbitrário através de um vetor não especificado. A falha explora a população automática das variáveis globais `$argc` e `$argv` do PHP, que podem ser manipuladas para injetar cargas maliciosas. Versões afetadas: 3.x < 3.9.14, 4.x < 4.13.2, 5.x < 5.5.2.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Craft is a flexible, user-friendly CMS for creating custom digital experiences on the web and beyond. Users of affected versions are affected by this vulnerability if their php.ini configuration has `register_argc_argv` enabled. For these users an unspecified remote code execution vector is present. Users are advised to update to version 3.9.14, 4.13.2, or 5.5.2. Users unable to upgrade should disable `register_argc_argv` to mitigate the issue.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Produtos afetados
craftcms · cmsPoCs públicas encontradas — 3
cve_referencegithub.com/Chocapikk/CVE-2024-56145★ 47githubgithub.com/Sachinart/CVE-2024-56145-craftcms-rce★ 4githubgithub.com/hmhlol/craft-cms-RCE-CVE-2024-56145★ 0⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →