I ricercatori di Assetnote hanno identificato una vulnerabilità zero-day critica in Craft CMS, un sistema di gestione dei contenuti diffuso con oltre 100.000 clienti. Questa vulnerabilità, tracciata come CVE-2024-56145, consente ad attaccanti non autenticati di eseguire codice da remoto (RCE) sotto le configurazioni PHP predefinite. Con 50.915 istanze di Craft CMS esposte online, la vulnerabilità rappresenta una seria minaccia per i sistemi interessati.
| Prodotto | Craft Commerce,Craft CMS |
| Data | 2024-12-25 17:57:25 |
| Informazioni | Fix Available, Active Exploitation |
Riassunto tecnico
La vulnerabilità riguarda le seguenti versioni di Craft CMS:
- 5.0.0-RC1 (inclusa) fino a 5.5.2 (esclusa)
- 4.0.0-RC1 (inclusa) fino a 4.13.2 (esclusa)
- 3.0.0 (inclusa) fino a 3.9.14 (esclusa)
Quando register_argc_argv è abilitato (impostazione predefinita in PHP), gli attaccanti possono sfruttare la gestione degli argomenti della riga di comando nel processo di bootstrap di Craft CMS, ottenendo l’esecuzione di codice da remoto non autenticata tramite injection di template.
Le versioni 5.5.2, 4.13.2 e 3.9.14 di Craft CMS contengono le patch che risolvono questa vulnerabilità. Si raccomanda vivamente agli utenti delle versioni interessate di aggiornare immediatamente.
Raccomandazioni
Per mitigare il rischio di sfruttamento:
- Aggiornare Craft CMS:
- Eseguire l’aggiornamento alla versione 5.5.2 (per gli utenti della 5.x), 4.13.2 (per gli utenti della 4.x) o 3.9.14 (per gli utenti della 3.x).
- Disabilitare
register_argc_argv:- Mitigazione temporanea della vulnerabilità disattivando questa impostazione nel file
php.ini:
register_argc_argv = Off
- Mitigazione temporanea della vulnerabilità disattivando questa impostazione nel file
- Verificare le istanze esposte:
- Identificare le installazioni di Craft CMS esposte e verificare che utilizzino versioni sicure.