CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2024-56145

RCE w Craft CMS przez nieprawidłową konfigurację register_argc_argv

CVSS 9.3v4.0pub. 2024-12-18upd. 2025-10-24

Podatność w systemie zarządzania treścią Craft CMS umożliwia zdalne wykonanie kodu (RCE) na serwerach, w których konfiguracja PHP ma włączoną opcję `register_argc_argv`. Jest to krytyczna luka aktywnie wykorzystywana przez atakujących, figurująca w katalogu CISA KEV.

Pokaż oryginał (EN)

Craft is a flexible, user-friendly CMS for creating custom digital experiences on the web and beyond. Users of affected versions are affected by this vulnerability if their php.ini configuration has `register_argc_argv` enabled. For these users an unspecified remote code execution vector is present. Users are advised to update to version 3.9.14, 4.13.2, or 5.5.2. Users unable to upgrade should disable `register_argc_argv` to mitigate the issue.

🤖 Analiza AI
Jak działa

Gdy w pliku php.ini włączona jest opcja `register_argc_argv`, Craft CMS przetwarza dane wejściowe w sposób umożliwiający wstrzyknięcie i wykonanie nieautoryzowanego kodu (CWE-94 — improper control of code generation). Atakujący nieposiadający żadnych uprawnień może zdalnie, przez sieć, wywołać nieokreślony wektor RCE bez interakcji ze strony użytkownika. Szczegóły wektora ataku nie zostały w pełni ujawnione przez producenta.

Skutki

Atakujący może uzyskać pełną kontrolę nad serwerem poprzez zdalne wykonanie dowolnego kodu, co zagraża poufności, integralności i dostępności systemu.

Mitygacja

Należy niezwłocznie zaktualizować Craft CMS do wersji 3.9.14, 4.13.2 lub 5.5.2 w zależności od używanej gałęzi. Jeśli aktualizacja nie jest natychmiast możliwa, należy wyłączyć opcję `register_argc_argv` w konfiguracji php.ini jako tymczasowe obejście.

Kogo dotyczy

Craft CMS w wersjach przed 3.9.14, przed 4.13.2 oraz przed 5.5.2, jeśli serwer PHP ma włączoną opcję `register_argc_argv` w pliku php.ini.

Uwagi

Publicznie dostępny kod exploita opublikowany w repozytorium GitHub (Chocapikk/CVE-2024-56145). Podatność uwzględniona w katalogu CISA Known Exploited Vulnerabilities.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Craftcms Craft Cms

    APP
    Craftcms
    3.0.0 – 3.9.14 (bez)4.0.0 – 4.13.2 (bez)5.0.0 – 5.5.2 (bez)

CISA KEV — szczegółyi

Dostawcai
Craft CMS
Produkti
Craft CMS
Data dodania do KEVi
2 czerwca 2025
Termin remediation (USA)i
23 czerwca 2025(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami dostawcy, postępuj zgodnie z odpowiednimi wytycznymi BOD 22-01 dla usług chmurowych lub przerwij używanie produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Craft CMS zawiera lukę umożliwiającą wstrzyknięcie kodu. Użytkownicy ze zmodyfikowanymi wersjami są narażeni na RCE jeśli ich konfiguracja php.ini ma włączoną opcję `register_argc_argv`.

tłumaczenie AI
Pokaż oryginał (EN)

Craft CMS contains a code injection vulnerability. Users with affected versions are vulnerable to remote code execution if their php.ini configuration has `register_argc_argv` enabled.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 23 czerwca 2025
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2025-32432CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Krytyczny RCE w Craft CMS — zdalne wykonanie kodu bez uwierzytelnienia

CVE-2026-28697CRITICAL9.4PL ✓ten sam produkt

Craft CMS: RCE przez SSTI w polach szablonów Twig

CVE-2026-28783CRITICAL9.4PL ✓ten sam produkt

Craft CMS: obejście bloklisty PHP w silniku Twig umożliwia RCE

CVE-2024-37843CRITICAL9.8PL ✓ten sam produkt

SQL injection w Craft CMS przez endpoint GraphQL API

CVE-2023-41892CRITICAL10.0ten sam produkt

Craft CMS is a platform for creating digital experiences. This is a high-impact, low-complexity attack vector....

CVE-2024-56145 — RCE w Craft CMS przez nieprawidłową konfigurację register_argc_argv — CRITICAL 9.3 | CVEbaza.pl