CVE-2024-21622 是 Craft CMS 中发现的一个潜在的权限提升漏洞。该漏洞允许在特定用户权限配置下,攻击者可能提升其权限,从而可能访问或修改未经授权的数据。该漏洞影响 Craft CMS 3.0.0 及以上版本,以及 4.0.0-RC1 及以上版本,但已在 Craft CMS 4.4.16 和 3.9.6 版本中修复。
攻击者利用此漏洞可能获得对 Craft CMS 系统的未经授权的访问权限。他们可以读取、修改甚至删除敏感数据,例如用户账户信息、内容和配置设置。如果系统与其它系统集成,攻击者可能利用此漏洞进行横向移动,进一步扩大攻击范围。具体来说,攻击者可能利用提升的权限来执行恶意代码,安装后门,或者窃取敏感信息,造成严重的业务影响和数据泄露。
目前尚未公开发现针对此漏洞的公开利用代码 (POC)。CISA 尚未将其添加到 KEV 目录。根据 CVSS 评分,该漏洞的利用概率为中等。建议密切关注安全社区的动态,以及 Craft CMS 官方发布的任何安全公告。
Organizations using Craft CMS versions 3.0.0–>= 4.0.0-RC1 and < 4.5.11, particularly those with custom user roles or overly permissive user configurations, are at risk. Shared hosting environments utilizing Craft CMS are also potentially vulnerable if the hosting provider has not applied the necessary updates.
disclosure
漏洞利用状态
EPSS
0.10% (28% 百分位)
CVSS 向量
最有效的缓解措施是立即升级到 Craft CMS 4.4.16 或 3.9.6 版本。如果升级会造成业务中断,可以考虑临时限制具有可疑权限的用户访问。此外,审查并强化用户权限配置,确保遵循最小权限原则。实施严格的访问控制策略,定期审计用户活动,并监控系统日志以检测异常行为。在升级后,请验证新版本是否已成功安装并配置,以及用户权限是否已正确应用。
Actualice Craft CMS a la versión 4.4.16 o superior, o a la versión 3.9.6 o superior. Esto solucionará la vulnerabilidad de escalada de privilegios. Realice una copia de seguridad antes de actualizar.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-21622 是 Craft CMS 3.0.0 及以上版本中发现的一个权限提升漏洞,允许攻击者在特定权限配置下提升权限。
如果您正在使用 Craft CMS 3.0.0 及以上版本,但低于 4.5.11,则可能受到影响。请立即升级。
请升级到 Craft CMS 4.4.16 或 3.9.6 版本。
目前尚未公开发现针对此漏洞的公开利用代码,但建议密切关注安全动态。
请访问 Craft CMS 官方网站的安全公告页面,搜索 CVE-2024-21622。