Craft CMS 远程代码执行漏洞(CVE-2024-56145)
漏洞分析
组件介绍
Craft CMS 是一个流行的内容管理系统(CMS),它专注于为设计师和开发人员提供灵活的工具,以便他们可以创建精美的网站和数字体验 。
漏洞描述
2024年12月23日,深 瞳 漏洞实验室监测到一则Craft CMS组件存在代码执行漏洞的信息,漏洞编号:CVE-2024-56145,漏洞威胁等级:严重。
Craft CMS存在远程代码执行漏洞,如果受影响版本的Craft CMS用户的 php.ini 配置文件中启用了" register_argc_argv ",未授权攻击者可以利用该漏洞执行任意代码,导致服务器失陷 。
影响范围
目前受影响的 Craft CMS版本:
5.0.0-RC1 ≤ Craft CMS < 5.5.2
4.0.0-RC1 ≤ Craft CMS < 4.13.2
3.0.0 ≤ Craft CMS < 3.9.14
解决方案
临时修复建议
在不影响业务的前提下,禁用 php.ini 中的 register_argc_argv 配置。
官方修复建议
安全版本:
Craft Cms 4.13.2
Craft Cms 5.5.2
官方已发布最新版本修复该漏洞,建议受影响用户将 Craft Cms 更新到安全版本及以上的版本。
下载链接:
https://github.com/craftcms/cms/releases/tag/5.5.7
商业版下载链接: https://craftcms.com/pricing
Adobe ColdFusion任意文件读取漏洞(CVE-2024-53961)
漏洞分析
组件介绍
ColdFusion 是一个应用服务器。ColdFusion 也是一种 Web 编程语言,它允许 Web 应用程序与各种后端系统进行通信。使用 ColdFusion,您可以创建动态网页,提供用户输入、数据库查找、一天中的时间或您需要的任何其他标准。ColdFusion 页面由标准 HTML 及其专有的 ColdFusion 标记语言 (CFML) 组成 。
漏洞描述
2024年12月24日,深 瞳 漏洞实验室监测到一则Adobe-ColdFusion组件存在任意文件读取漏洞的信息,漏洞编号:CVE-2024-53961,漏洞威胁等级:高危。
Adobe 发布的紧急安全更新中显示,修复了一个ColdFusion 2023 和 2021版本中的严重漏洞。攻击者可以利用该漏洞从系统中读取任意文件,从而可能导致敏感数据和配置文件泄露。注:Adobe 已确认 CVE-2024-53961 的POC已经存在 。
影响范围
目前受影响的 Adobe-ColdFusion版本:
Adobe ColdFusion 2023 ≤ Update 11
Adobe ColdFusion 2021 ≤ Update 17
四、 修复建议
安全版本:
Adobe ColdFusion 2023 Update 12
Adobe ColdFusion 2021 Update 18
官方已发布最新版本修复该漏洞,建议受影响用户将 Adobe ColdFusion更新到安全版本及以上版本。
下载链接:
ColdFusion 2023 :
https://helpx.adobe.com/coldfusion/kb/coldfusion-2023-update-12.html
ColdFusion 2021 :
https://helpx.adobe.com/coldfusion/kb/coldfusion-2021-update-18.html
