CVE-2024-56145

Опубликовано: 18 дек. 2024

Источник: nvd

CVSS3: 9.8

EPSS Критический

Описание

Craft is a flexible, user-friendly CMS for creating custom digital experiences on the web and beyond. Users of affected versions are affected by this vulnerability if their php.ini configuration has register_argc_argv enabled. For these users an unspecified remote code execution vector is present. Users are advised to update to version 3.9.14, 4.13.2, or 5.5.2. Users unable to upgrade should disable register_argc_argv to mitigate the issue.

Ссылки

https://github.com/craftcms/cms/commit/82e893fb794d30563da296bca31379c0df0079b3
Patch
https://github.com/craftcms/cms/security/advisories/GHSA-2p6p-9rc9-62j9
Vendor Advisory
https://github.com/Chocapikk/CVE-2024-56145
Exploit
https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2024-56145
US Government Resource

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:craftcms:craft_cms:*:*:*:*:*:*:*:*

Версия от 3.0.0 (включая) до 3.9.14 (исключая)

cpe:2.3:a:craftcms:craft_cms:*:*:*:*:*:*:*:*

Версия от 4.0.0 (включая) до 4.13.2 (исключая)

cpe:2.3:a:craftcms:craft_cms:*:*:*:*:*:*:*:*

Версия от 5.0.0 (включая) до 5.5.2 (исключая)

EPSS

Процентиль: 100%

0.94049

Критический

9.8 Critical

CVSS3

Дефекты

CWE-94

Связанные уязвимости

GHSA-2p6p-9rc9-62j9

CVSS3: 9.8

github

около 1 года назад

Craft CMS has potential RCE when PHP `register_argc_argv` config setting is enabled

BDU:2025-00007

CVSS3: 7.3

fstec

около 1 года назад

Уязвимость конфигурации register_argc_argv системы управления контентом Craft CMS, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 100%

0.94049

Критический

9.8 Critical

CVSS3

Дефекты

CWE-94