CVE-2024-52292— Craft CMS安全漏洞
获取后续新漏洞提醒登录后订阅
一、 漏洞 CVE-2024-52292 基础信息
漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗ 尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
Craft Allows Attackers to Read Arbitrary System Files
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
Craft is a content management system (CMS). The dataUrl function can be exploited if an attacker has write permissions on system notification templates. This function accepts an absolute file path, reads the file's content, and converts it into a Base64-encoded string. By embedding this function within a system notification template, the attacker can exfiltrate the Base64-encoded file content through a triggered system email notification. Once the email is received, the Base64 payload can be decoded, allowing the attacker to read arbitrary files on the server. This is fixed in 5.4.9 and 4.12.8.
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
对外部实体的文件或目录可访问
来源: 美国国家漏洞数据库 NVD
Vulnerability Title
Craft CMS安全漏洞
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Description
Craft CMS是Craft CMS开源的一套内容管理系统(CMS)。 Craft CMS存在安全漏洞,该漏洞源于可以解码Base64有效载荷,从而使攻击者能够读取服务器上的任意文件。
来源: 中国国家信息安全漏洞库 CNNVD
CVSS Information
N/A
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Type
N/A
来源: 中国国家信息安全漏洞库 CNNVD
受影响产品
二、漏洞 CVE-2024-52292 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
AI 生成 POC高级
未找到公开 POC。
登录以生成 AI POC三、漏洞 CVE-2024-52292 的情报信息
Please 登录 to view more intelligence information
- Read Arbitrary System Files · Advisory · craftcms/cms · GitHubx_refsource_CONFIRM
- https://nvd.nist.gov/vuln/detail/CVE-2024-52292
同批安全公告 · craftcms · 2024-11-13 · 共 3 条
| CVE-2024-52291 | 8.5 HIGH | CraftCMS 路径遍历漏洞 |
| CVE-2024-52293 | 7.2 HIGH | Craft CMS 路径遍历漏洞 |
IV. Related Vulnerabilities
V. Comments for CVE-2024-52292
暂无评论