Plataforma
php
Componente
cms
Corregido en
4.0.1
3.0.1
La vulnerabilidad CVE-2024-21622 representa una escalada de privilegios potencial en el sistema de gestión de contenidos Craft CMS. Esta falla, de complejidad baja, permite a usuarios con configuraciones de permisos específicas obtener acceso no autorizado a funcionalidades restringidas. Afecta a las versiones 3.x anteriores a 3.9.6 y a las versiones 4.x anteriores a 4.4.16. Se ha solucionado en Craft CMS 4.4.16 y 3.9.6.
Un atacante que explote esta vulnerabilidad podría obtener acceso no autorizado a datos sensibles o realizar acciones administrativas dentro de la instancia de Craft CMS. Esto podría incluir la modificación de contenido, la creación de usuarios, la alteración de la configuración del sistema o incluso la ejecución de código malicioso, dependiendo de los permisos escalados. El impacto potencial es significativo, ya que un atacante podría comprometer la integridad y confidencialidad de la aplicación y los datos que gestiona. La baja complejidad de la vulnerabilidad sugiere que la explotación podría ser relativamente sencilla, lo que aumenta el riesgo de ataques.
La vulnerabilidad fue publicada el 3 de enero de 2024. No se ha reportado su inclusión en el KEV de CISA al momento de la redacción. No se han identificado públicamente pruebas de concepto (PoC) activas, pero la baja complejidad de la vulnerabilidad sugiere que podrían aparecer en el futuro. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación.
Organizations using Craft CMS versions 3.0.0–>= 4.0.0-RC1 and < 4.5.11, particularly those with custom user roles or overly permissive user configurations, are at risk. Shared hosting environments utilizing Craft CMS are also potentially vulnerable if the hosting provider has not applied the necessary updates.
disclosure
Estado del Exploit
EPSS
0.10% (28% percentil)
Vector CVSS
La mitigación principal para CVE-2024-21622 es actualizar Craft CMS a la versión 4.4.16 o 3.9.6, donde se ha corregido la vulnerabilidad. Si la actualización a la última versión no es inmediatamente posible, se recomienda revisar cuidadosamente la configuración de permisos de los usuarios para limitar el acceso a las funcionalidades críticas. Implementar una política de privilegios mínimos, donde los usuarios solo tengan acceso a los recursos que necesitan para realizar sus tareas, puede ayudar a reducir el impacto de una posible explotación. Después de la actualización, confirme que la versión instalada es la correcta verificando la información de la versión en el panel de administración de Craft CMS.
Actualice Craft CMS a la versión 4.4.16 o superior, o a la versión 3.9.6 o superior. Esto solucionará la vulnerabilidad de escalada de privilegios. Realice una copia de seguridad antes de actualizar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-21622 is a medium severity privilege escalation vulnerability in Craft CMS affecting versions 3.0.0–>= 4.0.0-RC1 and < 4.5.11. Attackers with specific permissions could elevate their privileges.
You are affected if you are using Craft CMS versions 3.0.0–>= 4.0.0-RC1 and < 4.5.11. Check your version and upgrade if necessary.
Upgrade Craft CMS to version 4.4.16 or 3.9.6. Review and tighten user permission configurations to minimize potential impact.
There is currently no indication of active exploitation in the wild or publicly available proof-of-concept exploits.
Refer to the official Craft CMS security advisory for details: [https://craftcms.com/security/bulletins/cve-2024-21622](https://craftcms.com/security/bulletins/cve-2024-21622)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.