Résumé
Le 2 juin 2025, la CISA (Agence de Cybersécurité et de Sécurité des Infrastructures) a averti d’une faille de sécurité dans Craft CMS, un système de gestion de contenu utilisé pour créer et gérer des sites web.
Référencée sous CVE-2024-56145, cette vulnérabilité réside dans le fichier bootstrap/bootstrap.php de Craft CMS. Lorsque la directive PHP register_argc_argv est activée (ce qui est le cas par défaut dans certaines configurations, notamment les images Docker officielles de Craft CMS), un attaquant peut injecter des arguments en ligne de commande via des requêtes HTTP. Cela permet de manipuler des chemins tels que –templatesPath ou –configPath, forçant le CMS à charger des fichiers arbitraires, ce qui peut aboutir à une exécution de code à distance.
Solutions
Il est recommandé de mettre à jour vers la dernière version 5.5.2, 4.13.2, and 3.9.14 ou ultérieure.
La faille est activement exploitée : Oui
Details techniques
Score CVSS : 9.3
Risques : Exécution de code arbitraire
Systèmes affectés
Craft CMS :
-
- Les versions comprises entre 4.0.0-RC1 et 4.13.2 (non incluses)
- Les versions comprises entre 5.0.0-RC1 et 5.5.2 (non incluses)
- Les versions comprises entre 3.0.0 et 3.9.14 (non incluses)
Documentation
- Bulletin de sécurité de Fram
https://github.com/craftcms/cms/security/advisories/GHSA-2p6p-9rc9-62j9
- Nist Details CVE
https://nvd.nist.gov/vuln/detail/CVE-2024-56145
- CVE Details
https://www.cvedetails.com/cve/CVE-2024-56145/
- Reference CVE
https://www.cve.org/CVERecord?id=CVE-2024-56145
- CWE
https://cwe.mitre.org/data/definitions/94.html