प्लेटफ़ॉर्म
php
घटक
craftcms/cms
में ठीक किया गया
5.0.1
3.5.14
5.4.9
CVE-2024-52292 Craft CMS में एक भेद्यता है जो हमलावरों को सिस्टम नोटिफिकेशन टेम्पलेट का दुरुपयोग करके ऑपरेटिंग सिस्टम फ़ाइलों को पढ़ने की अनुमति देती है। यह भेद्यता 5.4.8 और उससे पहले के संस्करणों को प्रभावित करती है। इस समस्या को ठीक करने के लिए, 5.4.9 या बाद के संस्करण में अपडेट करने की अनुशंसा की जाती है।
यह भेद्यता हमलावरों के लिए संवेदनशील जानकारी तक पहुंचने का एक महत्वपूर्ण जोखिम पैदा करती है। हमलावर सिस्टम फ़ाइलों की सामग्री को पढ़ सकते हैं, जिसमें कॉन्फ़िगरेशन फ़ाइलें, पासवर्ड या अन्य गोपनीय डेटा शामिल हो सकते हैं। इस जानकारी का उपयोग सिस्टम पर नियंत्रण हासिल करने, डेटा चोरी करने या अन्य दुर्भावनापूर्ण गतिविधियों को करने के लिए किया जा सकता है। चूंकि भेद्यता डेटाUrl फ़ंक्शन के माध्यम से फ़ाइलों को Base64-encoded स्ट्रिंग के रूप में एक्सफ़िल्ट्रेट करने की अनुमति देती है, इसलिए यह डेटा को नेटवर्क पर भेजने की संभावना को बढ़ाती है, जिससे जोखिम और बढ़ जाता है।
CVE-2024-52292 को 2024-11-13 को सार्वजनिक रूप से प्रकट किया गया था। वर्तमान में, इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) नहीं है, लेकिन भेद्यता की प्रकृति को देखते हुए, इसका शोषण किया जा सकता है। CISA ने अभी तक इस CVE को KEV में शामिल नहीं किया है।
Organizations using Craft CMS in environments where system notification templates are writable by untrusted users are at significant risk. This includes development environments, shared hosting environments, and deployments with overly permissive file permissions. Sites relying on Craft CMS for sensitive data processing or storage are particularly vulnerable.
• php / server:
find /path/to/craft/templates -name '*notification.php*' -print0 | xargs -0 grep -i 'dataUrl\(' • php / server:
journalctl -u php-fpm -f | grep -i "dataUrl"• generic web: Inspect system notification email content for Base64-encoded strings that might represent file contents.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.32% (55% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-52292 के प्रभाव को कम करने के लिए, सबसे पहले 5.4.9 या बाद के संस्करण में अपडेट करें। यदि तत्काल अपडेट संभव नहीं है, तो सिस्टम नोटिफिकेशन टेम्पलेट पर सख्त नियंत्रण लागू करें ताकि यह सुनिश्चित हो सके कि केवल विश्वसनीय उपयोगकर्ताओं के पास लिखने की अनुमति है। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करें जो डेटाUrl फ़ंक्शन के दुरुपयोग का पता लगा सके और उसे रोक सके। नियमित रूप से सिस्टम लॉग की निगरानी करें ताकि किसी भी असामान्य गतिविधि का पता लगाया जा सके जो इस भेद्यता के शोषण का संकेत दे सकती है।
Actualice Craft CMS a la versión 5.4.9 o superior, o a la versión 4.12.8 o superior. Esto corrige la vulnerabilidad que permite la lectura de archivos arbitrarios. La actualización se puede realizar a través del panel de control de Craft CMS o mediante Composer.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-52292 Craft CMS में एक भेद्यता है जो हमलावरों को सिस्टम नोटिफिकेशन टेम्पलेट का दुरुपयोग करके ऑपरेटिंग सिस्टम फ़ाइलों को पढ़ने की अनुमति देती है।
यदि आप Craft CMS के 5.4.8 या उससे पहले के संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2024-52292 को ठीक करने के लिए, 5.4.9 या बाद के संस्करण में अपडेट करें।
वर्तमान में, इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) नहीं है, लेकिन इसका शोषण किया जा सकता है।
आप Craft CMS सलाहकार यहां पा सकते हैं: [https://craftcms.com/support/security](https://craftcms.com/support/security)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।