◆概要
2024 年 12 月に公開された Craft CMS の脆弱性の悪用を試みるエクスプロイトコードが公開されています。攻撃者は脆弱性の悪用により、脆弱な Web アプリケーションが稼働しているサーバへの侵入が可能となります。ソフトウェアの更新または設定の変更により対策してください。
◆分析者コメント
脆弱性は、セキュリティの観点から現在はデフォルトで無効化されているオプションが有効化されている場合にのみ発現するものですが、公式に提供されている Docker イメージなどで有効化されているオプションであると報告されています。phpinfo 関数などにより register_argc_argv オプションが有効化されていないかを確認するとともに、ソフトウェアのバージョンアップデートによる対策の検討を推奨します。
◆深刻度(CVSS)
[CVSS v4.0]
9.3
https://nvd.nist.gov/vuln/detail/CVE-2024-56145#:~:text=CVSS%2DB-,9.3%20CRITICAL,-Vector%3A%C2%A0
◆影響を受けるソフトウェア
Craft CMS のうち、以下のバージョンが脆弱性の影響を受けると報告されています。
* 5 系 - 5.5.2 よりも古いバージョン
* 4 系 - 4.13.2 よりも古いバージョン
* 3 系 - 3.9.14 よりも古いバージョン
◆解説
Web サイトの構築に活用されている CMS アプリケーションである Craft CMS に、遠隔からの任意のコード実行が可能となる脆弱性が報告されています。
脆弱性は、php.ini で register_argc_argv オプションが有効化されている場合に影響を受けます。脆弱性の影響を受けるバージョンでかつ当該設定が有効化されている Craft CMS では、URI に設定されたパラメータの検証不備により、Craft CMS の機能が遠隔から非認証状態で実行可能となります。攻撃者は当該脆弱性を悪用して、FTP ファイル上に設置した任意のテンプレートファイルを ftp:// と指定すれば脆弱な Craft CMS に読み込ませることが可能であり、任意のコードの実行を強制可能となります。
◆対策
Craft CMS を、以下のバージョンにアップデートしてください。
* 5 系 - 5.5.2 またはそれよりも新しいバージョン
* 4 系 - 4.13.2 またはそれよりも新しいバージョン
* 3 系 - 3.9.14 またはそれよりも新しいバージョン
アップデートが困難な場合は、php.ini の設定により register_argc_argv オプションを無効化してください。
◆関連情報
[1] Craft CMS 公式 GitHub
https://github.com/craftcms/cms/commit/82e893fb794d30563da296bca31379c0df0079b3
[2] Craft CMS 公式 GitHub
https://github.com/craftcms/cms/security/advisories/GHSA-2p6p-9rc9-62j9
[3] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2024-56145
[4] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-56145
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して遠隔からの任意のコード実行を試みるエクスプロイトコードが公開されています。
GitHub - Chocapikk/CVE-2024-56145
https://github.com/Chocapikk/CVE-2024-56145/blob/main/exploit.py
#--- で始まる行は執筆者によるコメントです。
2024 年 12 月に公開された Craft CMS の脆弱性の悪用を試みるエクスプロイトコードが公開されています。攻撃者は脆弱性の悪用により、脆弱な Web アプリケーションが稼働しているサーバへの侵入が可能となります。ソフトウェアの更新または設定の変更により対策してください。
◆分析者コメント
脆弱性は、セキュリティの観点から現在はデフォルトで無効化されているオプションが有効化されている場合にのみ発現するものですが、公式に提供されている Docker イメージなどで有効化されているオプションであると報告されています。phpinfo 関数などにより register_argc_argv オプションが有効化されていないかを確認するとともに、ソフトウェアのバージョンアップデートによる対策の検討を推奨します。
◆深刻度(CVSS)
[CVSS v4.0]
9.3
https://nvd.nist.gov/vuln/detail/CVE-2024-56145#:~:text=CVSS%2DB-,9.3%20CRITICAL,-Vector%3A%C2%A0
◆影響を受けるソフトウェア
Craft CMS のうち、以下のバージョンが脆弱性の影響を受けると報告されています。
* 5 系 - 5.5.2 よりも古いバージョン
* 4 系 - 4.13.2 よりも古いバージョン
* 3 系 - 3.9.14 よりも古いバージョン
◆解説
Web サイトの構築に活用されている CMS アプリケーションである Craft CMS に、遠隔からの任意のコード実行が可能となる脆弱性が報告されています。
脆弱性は、php.ini で register_argc_argv オプションが有効化されている場合に影響を受けます。脆弱性の影響を受けるバージョンでかつ当該設定が有効化されている Craft CMS では、URI に設定されたパラメータの検証不備により、Craft CMS の機能が遠隔から非認証状態で実行可能となります。攻撃者は当該脆弱性を悪用して、FTP ファイル上に設置した任意のテンプレートファイルを ftp:// と指定すれば脆弱な Craft CMS に読み込ませることが可能であり、任意のコードの実行を強制可能となります。
◆対策
Craft CMS を、以下のバージョンにアップデートしてください。
* 5 系 - 5.5.2 またはそれよりも新しいバージョン
* 4 系 - 4.13.2 またはそれよりも新しいバージョン
* 3 系 - 3.9.14 またはそれよりも新しいバージョン
アップデートが困難な場合は、php.ini の設定により register_argc_argv オプションを無効化してください。
◆関連情報
[1] Craft CMS 公式 GitHub
https://github.com/craftcms/cms/commit/82e893fb794d30563da296bca31379c0df0079b3
[2] Craft CMS 公式 GitHub
https://github.com/craftcms/cms/security/advisories/GHSA-2p6p-9rc9-62j9
[3] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2024-56145
[4] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-56145
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して遠隔からの任意のコード実行を試みるエクスプロイトコードが公開されています。
GitHub - Chocapikk/CVE-2024-56145
https://github.com/Chocapikk/CVE-2024-56145/blob/main/exploit.py
#--- で始まる行は執筆者によるコメントです。
