CRITICAL🇬🇧 English

CVE-2024-37843

SQL injection w Craft CMS przez endpoint GraphQL API

CVSS 9.8v3.1pub. 2024-06-25upd. 2024-11-21

W Craft CMS do wersji 3.7.31 odkryto podatność SQL injection dostępną przez endpoint GraphQL API. Podatność jest krytyczna, ponieważ nie wymaga uwierzytelnienia i może prowadzić do pełnego przejęcia bazy danych.

Pokaż oryginał (EN)

Craft CMS up to v3.7.31 was discovered to contain a SQL injection vulnerability via the GraphQL API endpoint.

🤖 Analiza AI
Jak działa

Atakujący wysyła odpowiednio spreparowane zapytanie GraphQL do publicznego endpointu API, wstrzykując złośliwy kod SQL. Brak odpowiedniej walidacji i sanityzacji danych wejściowych pozwala na wykonanie dowolnych poleceń SQL w kontekście bazy danych aplikacji. Atak nie wymaga posiadania konta ani żadnych uprawnień w systemie.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do danych przechowywanych w bazie danych, modyfikować lub usuwać jej zawartość, a w sprzyjających warunkach konfiguracyjnych — wykonać polecenia systemowe na serwerze.

Mitygacja

Należy zaktualizować Craft CMS do wersji wyższej niż 3.7.31. Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako tymczasowe obejście warto rozważyć ograniczenie dostępu do endpointu GraphQL API na poziomie firewall lub warstwy sieciowej.

Kogo dotyczy

Craft CMS w wersjach do 3.7.31 włącznie.

Uwagi

Szczegółowy opis techniczny podatności (w tym potwierdzenie braku wymagania uwierzytelnienia) dostępny jest w publikacji badaczy z Smith Security: https://blog.smithsecurity.biz/craft-cms-unauthenticated-sqli-via-graphql

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Craftcms Craft Cms

    APP
    Craftcms
    < 3.7.31
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2025-32432CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Krytyczny RCE w Craft CMS — zdalne wykonanie kodu bez uwierzytelnienia

CVE-2024-56145CRITICAL9.3⚠ KEVPL ✓ten sam produkt

RCE w Craft CMS przez nieprawidłową konfigurację register_argc_argv

CVE-2026-28697CRITICAL9.4PL ✓ten sam produkt

Craft CMS: RCE przez SSTI w polach szablonów Twig

CVE-2026-28783CRITICAL9.4PL ✓ten sam produkt

Craft CMS: obejście bloklisty PHP w silniku Twig umożliwia RCE

CVE-2023-41892CRITICAL10.0ten sam produkt

Craft CMS is a platform for creating digital experiences. This is a high-impact, low-complexity attack vector....