← volver
CVE-2024-56145

RCE when PHP `register_argc_argv` config setting is enabled in craftcms/cms

CVSS 9.3 CRITICALEPSS 97.4%● KEVCWE-94
En resumen

Craft CMS permite que atacantes ejecuten código malicioso en servidores donde está habilitada una configuración específica de PHP (`register_argc_argv`). Es una vulnerabilidad crítica que puede dar control total de la aplicación a los invasores.

Detalle técnico

Existe una vulnerabilidad de ejecución remota de código en Craft CMS cuando la directiva de configuración `register_argc_argv` de PHP está habilitada, permitiendo que atacantes no autenticados ejecuten código arbitrario a través de un vector no especificado. La vulnerabilidad explota la población automática de las variables globales `$argc` y `$argv` de PHP, que pueden ser manipuladas para inyectar cargas maliciosas. Versiones afectadas: 3.x < 3.9.14, 4.x < 4.13.2, 5.x < 5.5.2.

Resumen generado y traducido por IA a partir de la descripción oficial.
Craft is a flexible, user-friendly CMS for creating custom digital experiences on the web and beyond. Users of affected versions are affected by this vulnerability if their php.ini configuration has `register_argc_argv` enabled. For these users an unspecified remote code execution vector is present. Users are advised to update to version 3.9.14, 4.13.2, or 5.5.2. Users unable to upgrade should disable `register_argc_argv` to mitigate the issue.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Productos afectados
craftcms · cms
PoCs públicas encontradas3
cve_referencegithub.com/Chocapikk/CVE-2024-5614547githubgithub.com/Sachinart/CVE-2024-56145-craftcms-rce4githubgithub.com/hmhlol/craft-cms-RCE-CVE-2024-561450
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://github.com/Chocapikk/CVE-2024-56145https://github.com/craftcms/cms/commit/82e893fb794d30563da296bca31379c0df0079b3https://github.com/craftcms/cms/security/advisories/GHSA-2p6p-9rc9-62j9https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2024-56145