Plataforma
php
Componente
craftcms/cms
Corrigido em
5.0.1
3.5.14
5.4.9
A vulnerabilidade CVE-2024-52292 afeta o Craft CMS, permitindo que atacantes leiam arquivos arbitrários do sistema operacional. Essa exploração ocorre através da função dataUrl em templates de notificação do sistema, onde um atacante com permissões de escrita pode incluir caminhos de arquivos para ler seu conteúdo e exfiltrá-lo via e-mail. Versões afetadas incluem aquelas anteriores ou iguais a 5.4.8. A correção foi lançada na versão 5.4.9.
Um atacante pode explorar essa vulnerabilidade para ler arquivos confidenciais do sistema operacional, incluindo arquivos de configuração, chaves de API, e dados sensíveis armazenados no servidor. A exfiltração dos dados ocorre através de e-mails de notificação do sistema, tornando a detecção mais difícil. O impacto potencial é alto, pois a divulgação de informações confidenciais pode levar a comprometimento do sistema, roubo de dados e outras atividades maliciosas. A capacidade de ler arquivos do sistema operacional oferece um amplo escopo de acesso para um atacante, permitindo a coleta de informações para ataques subsequentes.
A vulnerabilidade foi divulgada em 13 de novembro de 2024. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de um proof-of-concept público pode aumentar a probabilidade de exploração. A pontuação CVSS de 7.7 (ALTO) indica um risco significativo.
Organizations using Craft CMS in environments where system notification templates are writable by untrusted users are at significant risk. This includes development environments, shared hosting environments, and deployments with overly permissive file permissions. Sites relying on Craft CMS for sensitive data processing or storage are particularly vulnerable.
• php / server:
find /path/to/craft/templates -name '*notification.php*' -print0 | xargs -0 grep -i 'dataUrl\(' • php / server:
journalctl -u php-fpm -f | grep -i "dataUrl"• generic web: Inspect system notification email content for Base64-encoded strings that might represent file contents.
disclosure
Status do Exploit
EPSS
0.32% (percentil 55%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o Craft CMS para a versão 5.4.9 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, restrinja as permissões de escrita em templates de notificação do sistema, limitando o acesso apenas a usuários confiáveis. Implemente regras de firewall (WAF) para detectar e bloquear tentativas de acesso à função dataUrl com caminhos de arquivos suspeitos. Monitore logs do sistema em busca de atividades incomuns relacionadas ao envio de e-mails de notificação do sistema, especialmente aqueles contendo dados codificados em Base64. Após a atualização, confirme a correção verificando se a função dataUrl não permite mais a leitura de arquivos arbitrários.
Actualice Craft CMS a la versión 5.4.9 o superior, o a la versión 4.12.8 o superior. Esto corrige la vulnerabilidad que permite la lectura de archivos arbitrarios. La actualización se puede realizar a través del panel de control de Craft CMS o mediante Composer.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-52292 is a high-severity vulnerability in Craft CMS versions 5.4.8 and earlier that allows attackers to read arbitrary operating system files by abusing notification templates.
You are affected if you are using Craft CMS version 5.4.8 or earlier and have users with write access to system notification templates.
Upgrade Craft CMS to version 5.4.9 or later to remediate the vulnerability. Restrict write access to notification templates as an interim measure.
There is currently no indication of active exploitation in the wild, but the vulnerability is considered high-risk due to the ease of exploitation.
Refer to the official Craft CMS security advisory: [https://craftcms.com/support/security](https://craftcms.com/support/security)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.