Уязвимость BDU:2025-00007

Уязвимость BDU:2025-00007

Идентификатор: BDU:2025-00007.

Наименование уязвимости: Уязвимость конфигурации register_argc_argv системы управления контентом Craft CMS, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость конфигурации register_argc_argv системы управления контентом Craft CMS связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Уязвимое ПО: Прикладное ПО информационных систем Crafter Software Corporation Crafter CMS от 3.0.0 до 3.9.14 | Прикладное ПО информационных систем Crafter Software Corporation Crafter CMS от 4.0.0-RC1 до 4.13.2 | Прикладное ПО информационных систем Crafter Software Corporation Crafter CMS от 5.0.0-RC1 до 5.5.2 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 19.11.2024.
CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:P/A:P
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,3)
Критический уровень опасности (базовая оценка CVSS 4.0 составляет 9,3)

Возможные меры по устранению:
Использование рекомендаций производителя:
https://github.com/craftcms/cms/commit/82e893fb794d30563da296bca31379c0df0079b3
https://github.com/craftcms/cms/releases/tag/5.5.2
https://github.com/craftcms/cms/releases/tag/4.13.2
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2024-56145.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/craftcms/cms/commit/82e893fb794d30563da296bca31379c0df0079b3
https://github.com/craftcms/cms/security/advisories/GHSA-2p6p-9rc9-62j9
https://vuldb.com/?id.288870
https://github.com/Chocapikk/CVE-2024-56145
https://www.cisa.gov/sites/default/files/csv/known_exploited_vulnerabilities.csv

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: