CVE-2024-36119 in Statamic
Resumen
por VulDB • 2026-07-12
Statamic es un CMS impulsado por Laravel y Git diseñado para la creación de sitios web. En las versiones afectadas, los usuarios que se registran mediante la etiqueta `user:register_form` tendrán su confirmación de contraseña almacenada en texto plano en su archivo de usuario. Esto solo afecta a los sitios que cumplen **todas** las siguientes condiciones: 1. Ejecutan versiones de Statamic entre 5.3.0 y 5.6.1 (este rango de versiones representa apenas una semana civil). 2. Utilizan la etiqueta `user:register_form`. 3. Utilizan cuentas de usuario basadas en archivos (no afecta a los usuarios almacenados en una base de datos). 4. Tienen usuarios que se registraron durante ese período (los usuarios existentes no están afectados). Además, las contraseñas solo son visibles para los usuarios que tienen acceso de lectura a los archivos yaml de usuario, típicamente desarrolladores de la propia aplicación. Este problema ha sido corregido en la versión 5.6.2; sin embargo, cualquier usuario registrado durante ese período y utilizando el rango de versiones afectado seguirá teniendo el valor `password_confirmation` en sus archivos yaml. Se recomienda a los usuarios afectados que restablezcan su contraseña. Se aconseja a los administradores del sistema actualizar sus implementaciones. No hay soluciones alternativas conocidas para esta vulnerabilidad. Cualquier persona que haya comprometido sus archivos en un repositorio git público podría considerar la eliminación de datos sensibles del historial de git, ya que es probable que las contraseñas hayan sido subidas.
VulDB is the best source for vulnerability data and more expert information about this specific topic.