Plataforma
php
Componente
cms
Corrigido em
4.0.1
3.0.1
A vulnerabilidade CVE-2024-21622 representa um potencial escalonamento de privilégios no sistema de gerenciamento de conteúdo Craft CMS. Essa falha, de complexidade baixa, pode permitir que usuários com permissões específicas obtenham acesso não autorizado a funcionalidades e dados sensíveis. A vulnerabilidade afeta versões 3.x anteriores à 3.9.6 e versões 4.x anteriores à 4.4.16, sendo corrigida nas versões 4.4.16 e 3.9.6.
Um atacante explorando essa vulnerabilidade pode obter acesso não autorizado a funcionalidades administrativas e dados confidenciais dentro do Craft CMS. Isso pode incluir a capacidade de modificar conteúdo, criar ou excluir usuários, alterar configurações do sistema e, potencialmente, comprometer a integridade e a confidencialidade dos dados armazenados. A extensão do impacto dependerá das permissões específicas do usuário explorado e da sensibilidade dos dados acessíveis. A exploração bem-sucedida pode levar a uma violação de dados significativa e interrupção do serviço.
A vulnerabilidade CVE-2024-21622 foi divulgada em 03 de janeiro de 2024. Não há informações disponíveis sobre exploração ativa em campanhas direcionadas no momento da redação. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração. É recomendável monitorar fontes de inteligência de ameaças para detectar qualquer atividade maliciosa relacionada a essa vulnerabilidade.
Organizations using Craft CMS versions 3.0.0–>= 4.0.0-RC1 and < 4.5.11, particularly those with custom user roles or overly permissive user configurations, are at risk. Shared hosting environments utilizing Craft CMS are also potentially vulnerable if the hosting provider has not applied the necessary updates.
disclosure
Status do Exploit
EPSS
0.10% (percentil 28%)
Vetor CVSS
A mitigação primária para CVE-2024-21622 é a atualização imediata para a versão 4.4.16 ou 3.9.6 do Craft CMS. Se a atualização imediata não for possível devido a restrições de compatibilidade ou tempo de inatividade, revise cuidadosamente as permissões de usuário e restrinja o acesso a funcionalidades administrativas apenas para usuários autorizados. Implementar uma política de menor privilégio é crucial. Considere a implementação de regras de firewall de aplicação web (WAF) para detectar e bloquear tentativas de exploração. Após a atualização, confirme a correção verificando os logs do sistema em busca de atividades suspeitas e realizando testes de penetração para garantir que a vulnerabilidade foi efetivamente mitigada.
Actualice Craft CMS a la versión 4.4.16 o superior, o a la versión 3.9.6 o superior. Esto solucionará la vulnerabilidad de escalada de privilegios. Realice una copia de seguridad antes de actualizar.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-21622 is a medium severity privilege escalation vulnerability in Craft CMS affecting versions 3.0.0–>= 4.0.0-RC1 and < 4.5.11. Attackers with specific permissions could elevate their privileges.
You are affected if you are using Craft CMS versions 3.0.0–>= 4.0.0-RC1 and < 4.5.11. Check your version and upgrade if necessary.
Upgrade Craft CMS to version 4.4.16 or 3.9.6. Review and tighten user permission configurations to minimize potential impact.
There is currently no indication of active exploitation in the wild or publicly available proof-of-concept exploits.
Refer to the official Craft CMS security advisory for details: [https://craftcms.com/security/bulletins/cve-2024-21622](https://craftcms.com/security/bulletins/cve-2024-21622)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.