Des chercheurs d’Assetnote ont identifié une vulnérabilité zero-day critique dans Craft CMS, un système de gestion de contenu largement utilisé par plus de 100 000 clients. Cette vulnérabilité, répertoriée sous le nom de CVE-2024-56145, permet à des attaquants non authentifiés d’exécuter du code à distance (RCE) avec les configurations PHP par défaut. Avec 50 915 instances de Craft CMS exposées en ligne, cette vulnérabilité représente une menace sérieuse pour les systèmes concernés.
| Produit | Craft Commerce, Craft CMS |
| Date | 25/12/2024 17:57:25 |
| Informations |
|
Résumé technique
La vulnérabilité concerne les versions suivantes de Craft CMS :
- 5.0.0-RC1 (incluse) jusqu’à 5.5.2 (exclue)
- 4.0.0-RC1 (incluse) jusqu’à 4.13.2 (exclue)
- 3.0.0 (incluse) jusqu’à 3.9.14 (exclue)
Lorsque register_argc_argv est activé (paramètre par défaut dans PHP), les attaquants peuvent exploiter la gestion des arguments de ligne de commande dans le processus de bootstrap de Craft CMS, obtenant ainsi une exécution de code à distance non authentifiée via une injection de template.
Les versions 5.5.2, 4.13.2 et 3.9.14 de Craft CMS contiennent les correctifs résolvant cette vulnérabilité. Il est fortement recommandé aux utilisateurs des versions concernées de mettre à jour immédiatement.
Recommandations
Pour atténuer le risque d’exploitation :
- Mettre à jour Craft CMS :
- Effectuer la mise à jour vers la version 5.5.2 (pour les utilisateurs de la branche 5.x), 4.13.2 (pour les utilisateurs de la branche 4.x) ou 3.9.14 (pour les utilisateurs de la branche 3.x).
- Désactiver
register_argc_argv:- Atténuation temporaire de la vulnérabilité en désactivant ce paramètre dans le fichier
php.ini:register_argc_argv = Off
- Atténuation temporaire de la vulnérabilité en désactivant ce paramètre dans le fichier
- Vérifier les instances exposées :
- Identifier les installations de Craft CMS exposées et vérifier qu’elles utilisent des versions sécurisées.
[Callforaction-THREAT-Footer]
Leave a Reply