CVE-2024-36119 in Statamic情報

要約

〜によって VulDB • 2026年07月13日

Statamicは、LaravelとGitを活用してウェブサイト構築のために設計されたCMSです。影響を受けるバージョンでは、`user:register_form`タグを介して登録するユーザーのパスワード確認用フィールドが、ユーザーファイル内に平文で保存されます。この問題は、以下のすべての条件に一致するサイトでのみ発生します:1. Statamic 5.3.0から5.6.1までのバージョンを実行していること(このバージョン範囲はわずか1週間に相当)。2. `user:register_form`タグを使用していること。3. ファイルベースのユーザーアカウントを使用していること(データベースに保存されたユーザーには影響しません)。4. その期間中に登録したユーザーが存在すること(既存のユーザーは影響を受けません)。さらに、パスワードが参照可能なのは、通常アプリケーション自体の開発者など、ユーザーyamlファイルを読み取る権限を持つユーザーのみです。この問題はバージョン5.6.2で修正されていますが、該当するバージョン範囲を使用しており、その期間に登録されたユーザーについては、依然としてyamlファイル内に`password_confirmation`の値が残っています。影響を受けるユーザーにはパスワードのリセットを推奨します。システム管理者はデプロイメントのアップグレードを行うよう advised されます。この脆弱性に対する既知の回避策はありません。ファイルを公開Gitリポジトリにコミットしている場合は、機密データがアップロードされている可能性が高いため、git履歴からそのデータを消去することを検討してください。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

責任者

GitHub, Inc.

予約する

2024年05月20日

モデレーション

承諾済み

エントリ

VDB-266743

EPSS

0.00137

アクティビティ

非常低い

ソース

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!