Informazioni sul CVE-2024-36119
Password confirmation stored in plain text via registration form in statamic/cms
CWE ID: CWE-312
Base Score (CVSS): N/A
CVE: CVE-2024-36119
Descrizione: Statamic è, un CMS basato su Laravel + Git, progettato per costruire siti web. In versioni influenzate, gli utenti che si registrano tramite il tag `user:register_form` memorizzeranno la password di accodamento in testo semplice nel loro file utente. Questo si applica solo ai siti che corrispondono a tutti i seguenti casi: 1. Versioni di Statamic tra 5.3.0 e 5.6.1 (questa finestra temporale rappresenta solo una settimana calendario), 2. Utilizzo del tag `user:register_form`. 3. Utilizzo di account utente basati su file. (Non si applica agli utenti memorizzati in un database), 4. Ha utenti che si sono registrati in quel periodo. (Gli utenti esistenti non sono influenzati). Inoltre, le password sono visibili solo agli utenti che hanno accesso a leggere i file YAML utente, tipicamente sviluppatori dell’applicazione stessa. Questo problema è stato corretto in versione 5.6.2, tuttavia, qualsiasi utente registrato durante quel periodo e che utilizza la finestra temporale influenzata continuerà a vedere il valore `password_confirmation` nei suoi file YAML. Raccomandiamo che gli utenti interessati abbiano il loro password resettato. Gli amministratori di sistema sono incoraggiati ad aggiornare le loro distribuzioni. Non ci sono soluzioni note per questa vulnerabilità. Chi committa i propri file a un repository pubblico di Git può considerare di cancellare i dati sensibili dalla cronologia Git, poiché è probabile che le password siano state caricate.
Vettore di attacco CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:U/C:L/I:N/A:N
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Local, Privilegi: High, Interazione utente: Required, Confidenzialità: Low, Integrità: None, Disponibilità: None.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | L | Local | L’attaccante deve avere accesso locale al sistema. |
| Attack Complexity (AC) | H | High | L’attacco richiede condizioni particolari o avanzate. |
| Privileges Required (PR) | H | High | Richiede privilegi elevati. |
| User Interaction (UI) | R | Required | È richiesta l’interazione di un utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | L | Low | Impatto limitato. |
| Integrity Impact (I) | N | None | Nessun impatto sull’integrità. |
| Availability Impact (A) | N | None | Nessun impatto sulla disponibilità. |
Riferimenti esterni
- https://github.com/statamic/cms/security/advisories/GHSA-qvpj-w7xj-r6w9
- https://github.com/statamic/cms/commit/0b804306c96c99b81755d5bd02df87ddf392853e
- https://dev.to/balogh08/cleaning-your-git-history-safely-removing-sensitive-data-10i5
- https://docs.github.com/en/authentication/keeping-your-account-and-data-secure/removing-sensitive-data-from-a-repository
Prodotti interessati
- statamic – cms
Relazioni con altri prodotti
Produttore:statamic
Prodotto: cms
Anno: 2024
CWE: CWE-312
CVSS: 0.0