CVE-2024-21622は、Craft CMSにおける特権昇格の脆弱性です。この脆弱性は、特定のユーザー権限設定において、攻撃者が権限を昇格させ、システムへの不正アクセスを可能にする可能性があります。影響を受けるバージョンは、Craft CMS 3.0.0以降、4.0.0-RC1未満、または4.5.11未満です。Craft CMS 4.4.16および3.9.6へのアップデートでこの脆弱性は修正されています。
この脆弱性を悪用されると、認証された攻撃者は、通常アクセスできないリソースにアクセスしたり、機密情報を盗み出したり、システム設定を変更したりする可能性があります。攻撃者は、Craft CMSの管理インターフェースにログインし、脆弱な権限設定を利用して、より高い権限を取得し、システム全体を制御する可能性があります。この脆弱性は、特にカスタム権限設定や、デフォルトの権限設定を変更している環境において、深刻な影響を与える可能性があります。Craft CMSはコンテンツ管理システムとして広く利用されているため、この脆弱性の悪用は、広範囲にわたるデータ漏洩やシステム停止につながる可能性があります。
CVE-2024-21622は、2024年1月3日に公開されました。現時点では、この脆弱性を悪用した公開されているPoCは確認されていませんが、脆弱性の性質上、悪用される可能性は否定できません。CISAのKEVリストへの登録状況は不明です。この脆弱性は、Craft CMSのセキュリティコミュニティによって監視されており、今後の動向に注意が必要です。
Organizations using Craft CMS versions 3.0.0–>= 4.0.0-RC1 and < 4.5.11, particularly those with custom user roles or overly permissive user configurations, are at risk. Shared hosting environments utilizing Craft CMS are also potentially vulnerable if the hosting provider has not applied the necessary updates.
disclosure
エクスプロイト状況
EPSS
0.10% (28% パーセンタイル)
CVSS ベクトル
この脆弱性への最も効果的な対策は、Craft CMSをバージョン4.4.16または3.9.6にアップデートすることです。アップデートがすぐに実行できない場合は、ユーザー権限設定を見直し、最小限の権限のみを付与するように設定してください。また、Craft CMSのアクセスログを監視し、不審なアクティビティがないか確認することも重要です。WAF(Web Application Firewall)を導入し、特権昇格攻撃を検知・防御することも有効な対策となります。アップデート後、Craft CMSのバージョンを確認し、脆弱性が修正されていることを確認してください。
Actualice Craft CMS a la versión 4.4.16 o superior, o a la versión 3.9.6 o superior. Esto solucionará la vulnerabilidad de escalada de privilegios. Realice una copia de seguridad antes de actualizar.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-21622は、Craft CMSのバージョン3.0.0以降、4.0.0-RC1未満、または4.5.11未満に存在する特権昇格の脆弱性です。攻撃者は、この脆弱性を悪用して、権限を昇格させ、システムへの不正アクセスを可能にする可能性があります。
Craft CMSのバージョンが3.0.0以降、4.0.0-RC1未満、または4.5.11未満の場合は、影響を受ける可能性があります。特に、カスタム権限設定を導入している環境では、リスクが高まります。
Craft CMSをバージョン4.4.16または3.9.6にアップデートすることで、この脆弱性を修正できます。
現時点では、この脆弱性を悪用した公開されているPoCは確認されていませんが、悪用される可能性は否定できません。
Craft CMSの公式アドバイザリは、Craft CMSのウェブサイトで確認できます。