GHSA-2p6p-9rc9-62j9

Опубликовано: 18 дек. 2024

Источник: github

Github: Прошло ревью

CVSS4: 9.3

CVSS3: 9.8

Описание

Craft CMS has potential RCE when PHP register_argc_argv config setting is enabled

Impact

You are affected if your php.ini configuration has register_argc_argv enabled.

Patches

Update to 3.9.14, 4.13.2, or 5.5.2.

Workarounds

If you can't upgrade yet, and register_argc_argv is enabled, you can disable it to mitigate the issue.

Ссылки

Пакеты

Наименование

craftcms/cms

composer

Затронутые версииВерсия исправления

>= 5.0.0-RC1, < 5.5.2

5.5.2

Наименование

craftcms/cms

composer

Затронутые версииВерсия исправления

>= 4.0.0-RC1, < 4.13.2

4.13.2

Наименование

craftcms/cms

composer

Затронутые версииВерсия исправления

>= 3.0.0, < 3.9.14

3.9.14

EPSS

Процентиль: 100%

0.94049

Критический

9.3 Critical

CVSS4

9.8 Critical

CVSS3

CVE ID

CVE-2024-56145

Дефекты

CWE-78

CWE-94

Связанные уязвимости

CVE-2024-56145

CVSS3: 9.8

nvd

около 1 года назад

Craft is a flexible, user-friendly CMS for creating custom digital experiences on the web and beyond. Users of affected versions are affected by this vulnerability if their php.ini configuration has `register_argc_argv` enabled. For these users an unspecified remote code execution vector is present. Users are advised to update to version 3.9.14, 4.13.2, or 5.5.2. Users unable to upgrade should disable `register_argc_argv` to mitigate the issue.

BDU:2025-00007

CVSS3: 7.3

fstec

около 1 года назад

Уязвимость конфигурации register_argc_argv системы управления контентом Craft CMS, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 100%

0.94049

Критический

9.3 Critical

CVSS4

9.8 Critical

CVSS3

CVE ID

CVE-2024-56145

Дефекты

CWE-78

CWE-94