Plateforme
php
Composant
cms
Corrigé dans
4.0.1
3.0.1
La vulnérabilité CVE-2024-21622 est une faille d'escalade de privilèges potentielle dans Craft CMS, un système de gestion de contenu. Cette vulnérabilité permet à un attaquant d'élever ses privilèges au sein du système, compromettant potentiellement la sécurité des données et des fonctionnalités. Elle affecte les versions 3.x antérieures à 3.9.6 et les versions 4.x antérieures à 4.4.16, en particulier avec certaines configurations de permissions utilisateur. Une correction a été déployée dans Craft CMS 4.4.16 et 3.9.6.
Cette vulnérabilité d'escalade de privilèges permet à un attaquant, disposant de permissions utilisateur limitées, d'obtenir un accès non autorisé à des fonctionnalités ou des données normalement réservées aux administrateurs. Un attaquant pourrait ainsi modifier le contenu du site, accéder à des informations sensibles, ou même compromettre l'ensemble du système. L'impact est amplifié si le site web héberge des données confidentielles ou est utilisé pour des transactions sensibles. Bien que la complexité soit considérée comme faible, la possibilité d'escalade de privilèges représente un risque significatif pour la sécurité du site.
La vulnérabilité CVE-2024-21622 a été rendue publique le 3 janvier 2024. Il n'y a pas d'indications d'une exploitation active à grande échelle à ce jour. Aucun Proof of Concept (PoC) public n'a été largement diffusé, ce qui limite le risque d'exploitation immédiate. La vulnérabilité n'a pas été ajoutée au catalogue KEV de CISA.
Organizations using Craft CMS versions 3.0.0–>= 4.0.0-RC1 and < 4.5.11, particularly those with custom user roles or overly permissive user configurations, are at risk. Shared hosting environments utilizing Craft CMS are also potentially vulnerable if the hosting provider has not applied the necessary updates.
disclosure
Statut de l'Exploit
EPSS
0.10% (percentile 28%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour Craft CMS vers la version 4.4.16 ou 3.9.6, où la vulnérabilité a été corrigée. Si la mise à jour n'est pas immédiatement possible, il est recommandé de revoir et de renforcer les configurations de permissions utilisateur pour limiter l'accès aux fonctionnalités sensibles. Envisagez également de mettre en place des règles de pare-feu d'application web (WAF) pour bloquer les tentatives d'exploitation de la vulnérabilité. Vérifiez après la mise à jour que les permissions utilisateur sont correctement configurées et que l'accès aux ressources sensibles est restreint aux utilisateurs autorisés.
Actualice Craft CMS a la versión 4.4.16 o superior, o a la versión 3.9.6 o superior. Esto solucionará la vulnerabilidad de escalada de privilegios. Realice una copia de seguridad antes de actualizar.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-21622 is a medium severity privilege escalation vulnerability in Craft CMS affecting versions 3.0.0–>= 4.0.0-RC1 and < 4.5.11. Attackers with specific permissions could elevate their privileges.
You are affected if you are using Craft CMS versions 3.0.0–>= 4.0.0-RC1 and < 4.5.11. Check your version and upgrade if necessary.
Upgrade Craft CMS to version 4.4.16 or 3.9.6. Review and tighten user permission configurations to minimize potential impact.
There is currently no indication of active exploitation in the wild or publicly available proof-of-concept exploits.
Refer to the official Craft CMS security advisory for details: [https://craftcms.com/security/bulletins/cve-2024-21622](https://craftcms.com/security/bulletins/cve-2024-21622)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.