Craft CMS 远程代码执行漏洞(CVE-2024-56145)

漏洞分析

组件介绍

Craft CMS 是一个流行的内容管理系统（CMS），它专注于为设计师和开发人员提供灵活的工具，以便他们可以创建精美的网站和数字体验。

漏洞描述

2024年12月23日，深瞳漏洞实验室监测到一则Craft CMS组件存在代码执行漏洞的信息，漏洞编号：CVE-2024-56145，漏洞威胁等级：严重。

Craft CMS存在远程代码执行漏洞，如果受影响版本的Craft CMS用户的 php.ini 配置文件中启用了"register_argc_argv"，未授权攻击者可以利用该漏洞执行任意代码，导致服务器失陷。

影响范围

目前受影响的Craft CMS版本：

5.0.0-RC1 ≤ Craft CMS < 5.5.2

4.0.0-RC1 ≤ Craft CMS < 4.13.2

3.0.0 ≤ Craft CMS < 3.9.14

解决方案

临时修复建议

在不影响业务的前提下，禁用 php.ini 中的 register_argc_argv 配置。

官方修复建议

安全版本：

Craft Cms 4.13.2

Craft Cms 5.5.2

官方已发布最新版本修复该漏洞，建议受影响用户将Craft Cms更新到安全版本及以上的版本。

下载链接：

https://github.com/craftcms/cms/releases/tag/5.5.7

商业版下载链接：https://craftcms.com/pricing

Adobe ColdFusion任意文件读取漏洞(CVE-2024-53961)

漏洞分析

组件介绍

ColdFusion 是一个应用服务器。ColdFusion 也是一种 Web 编程语言，它允许 Web 应用程序与各种后端系统进行通信。使用 ColdFusion，您可以创建动态网页，提供用户输入、数据库查找、一天中的时间或您需要的任何其他标准。ColdFusion 页面由标准 HTML 及其专有的 ColdFusion 标记语言 (CFML) 组成。

漏洞描述

2024年12月24日，深瞳漏洞实验室监测到一则Adobe-ColdFusion组件存在任意文件读取漏洞的信息，漏洞编号：CVE-2024-53961，漏洞威胁等级：高危。

Adobe 发布的紧急安全更新中显示，修复了一个ColdFusion 2023 和 2021版本中的严重漏洞。攻击者可以利用该漏洞从系统中读取任意文件，从而可能导致敏感数据和配置文件泄露。注：Adobe 已确认 CVE-2024-53961 的POC已经存在。

影响范围

目前受影响的Adobe-ColdFusion版本：

Adobe ColdFusion 2023 ≤ Update 11

Adobe ColdFusion 2021 ≤ Update 17

四、修复建议

安全版本：

Adobe ColdFusion 2023 Update 12

Adobe ColdFusion 2021 Update 18

官方已发布最新版本修复该漏洞，建议受影响用户将Adobe ColdFusion更新到安全版本及以上版本。

下载链接：

ColdFusion 2023 :

https://helpx.adobe.com/coldfusion/kb/coldfusion-2023-update-12.html

ColdFusion 2021 :

https://helpx.adobe.com/coldfusion/kb/coldfusion-2021-update-18.html