CVE-2024-36119 in Statamicinformación

Resumen

por VulDB • 2026-07-12

Statamic es un CMS impulsado por Laravel y Git diseñado para la creación de sitios web. En las versiones afectadas, los usuarios que se registran mediante la etiqueta `user:register_form` tendrán su confirmación de contraseña almacenada en texto plano en su archivo de usuario. Esto solo afecta a los sitios que cumplen **todas** las siguientes condiciones: 1. Ejecutan versiones de Statamic entre 5.3.0 y 5.6.1 (este rango de versiones representa apenas una semana civil). 2. Utilizan la etiqueta `user:register_form`. 3. Utilizan cuentas de usuario basadas en archivos (no afecta a los usuarios almacenados en una base de datos). 4. Tienen usuarios que se registraron durante ese período (los usuarios existentes no están afectados). Además, las contraseñas solo son visibles para los usuarios que tienen acceso de lectura a los archivos yaml de usuario, típicamente desarrolladores de la propia aplicación. Este problema ha sido corregido en la versión 5.6.2; sin embargo, cualquier usuario registrado durante ese período y utilizando el rango de versiones afectado seguirá teniendo el valor `password_confirmation` en sus archivos yaml. Se recomienda a los usuarios afectados que restablezcan su contraseña. Se aconseja a los administradores del sistema actualizar sus implementaciones. No hay soluciones alternativas conocidas para esta vulnerabilidad. Cualquier persona que haya comprometido sus archivos en un repositorio git público podría considerar la eliminación de datos sensibles del historial de git, ya que es probable que las contraseñas hayan sido subidas.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

GitHub, Inc.

Reservar

2024-05-20

Divulgación

2024-05-31

Moderación

aceptado

Artículo

VDB-266743

CPE

listo

EPSS

0.00137

KEV

no

Actividades

muy bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!