CVE-2024-36119 in Statamic
要約
〜によって VulDB • 2026年07月13日
Statamicは、LaravelとGitを活用してウェブサイト構築のために設計されたCMSです。影響を受けるバージョンでは、`user:register_form`タグを介して登録するユーザーのパスワード確認用フィールドが、ユーザーファイル内に平文で保存されます。この問題は、以下のすべての条件に一致するサイトでのみ発生します:1. Statamic 5.3.0から5.6.1までのバージョンを実行していること(このバージョン範囲はわずか1週間に相当)。2. `user:register_form`タグを使用していること。3. ファイルベースのユーザーアカウントを使用していること(データベースに保存されたユーザーには影響しません)。4. その期間中に登録したユーザーが存在すること(既存のユーザーは影響を受けません)。さらに、パスワードが参照可能なのは、通常アプリケーション自体の開発者など、ユーザーyamlファイルを読み取る権限を持つユーザーのみです。この問題はバージョン5.6.2で修正されていますが、該当するバージョン範囲を使用しており、その期間に登録されたユーザーについては、依然としてyamlファイル内に`password_confirmation`の値が残っています。影響を受けるユーザーにはパスワードのリセットを推奨します。システム管理者はデプロイメントのアップグレードを行うよう advised されます。この脆弱性に対する既知の回避策はありません。ファイルを公開Gitリポジトリにコミットしている場合は、機密データがアップロードされている可能性が高いため、git履歴からそのデータを消去することを検討してください。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.