Podatność w systemie zarządzania treścią Craft CMS umożliwia zdalne wykonanie kodu (RCE) na serwerach, w których konfiguracja PHP ma włączoną opcję `register_argc_argv`. Jest to krytyczna luka aktywnie wykorzystywana przez atakujących, figurująca w katalogu CISA KEV.
▸ Pokaż oryginał (EN)
Craft is a flexible, user-friendly CMS for creating custom digital experiences on the web and beyond. Users of affected versions are affected by this vulnerability if their php.ini configuration has `register_argc_argv` enabled. For these users an unspecified remote code execution vector is present. Users are advised to update to version 3.9.14, 4.13.2, or 5.5.2. Users unable to upgrade should disable `register_argc_argv` to mitigate the issue.
Gdy w pliku php.ini włączona jest opcja `register_argc_argv`, Craft CMS przetwarza dane wejściowe w sposób umożliwiający wstrzyknięcie i wykonanie nieautoryzowanego kodu (CWE-94 — improper control of code generation). Atakujący nieposiadający żadnych uprawnień może zdalnie, przez sieć, wywołać nieokreślony wektor RCE bez interakcji ze strony użytkownika. Szczegóły wektora ataku nie zostały w pełni ujawnione przez producenta.
Atakujący może uzyskać pełną kontrolę nad serwerem poprzez zdalne wykonanie dowolnego kodu, co zagraża poufności, integralności i dostępności systemu.
Należy niezwłocznie zaktualizować Craft CMS do wersji 3.9.14, 4.13.2 lub 5.5.2 w zależności od używanej gałęzi. Jeśli aktualizacja nie jest natychmiast możliwa, należy wyłączyć opcję `register_argc_argv` w konfiguracji php.ini jako tymczasowe obejście.
Craft CMS w wersjach przed 3.9.14, przed 4.13.2 oraz przed 5.5.2, jeśli serwer PHP ma włączoną opcję `register_argc_argv` w pliku php.ini.
Publicznie dostępny kod exploita opublikowany w repozytorium GitHub (Chocapikk/CVE-2024-56145). Podatność uwzględniona w katalogu CISA Known Exploited Vulnerabilities.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XCraftcms Craft Cms
APPCraftcms3.0.0 – 3.9.14 (bez)4.0.0 – 4.13.2 (bez)5.0.0 – 5.5.2 (bez)
CISA KEV — szczegółyi
- Dostawcai
- Craft CMS
- Produkti
- Craft CMS
- Data dodania do KEVi
- 2 czerwca 2025
- Termin remediation (USA)i
- 23 czerwca 2025(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami dostawcy, postępuj zgodnie z odpowiednimi wytycznymi BOD 22-01 dla usług chmurowych lub przerwij używanie produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
Craft CMS zawiera lukę umożliwiającą wstrzyknięcie kodu. Użytkownicy ze zmodyfikowanymi wersjami są narażeni na RCE jeśli ich konfiguracja php.ini ma włączoną opcję `register_argc_argv`.
▸ Pokaż oryginał (EN)
Craft CMS contains a code injection vulnerability. Users with affected versions are vulnerable to remote code execution if their php.ini configuration has `register_argc_argv` enabled.
Powiązane podatności
Krytyczny RCE w Craft CMS — zdalne wykonanie kodu bez uwierzytelnienia
Craft CMS: RCE przez SSTI w polach szablonów Twig
Craft CMS: obejście bloklisty PHP w silniku Twig umożliwia RCE
SQL injection w Craft CMS przez endpoint GraphQL API
Craft CMS is a platform for creating digital experiences. This is a high-impact, low-complexity attack vector....