CVE-2024-36119 in Statamicinformação

Sumário

de VulDB • 13/07/2026

O Statamic é um CMS alimentado por Laravel + Git, projetado para a criação de sites. Nas versões afetadas, os usuários que se registram através da tag `user:register_form` terão sua confirmação de senha armazenada em texto puro no seu arquivo de usuário. Isso afeta apenas os sites que atendem **todas** as seguintes condições: 1. Estão executando versões do Statamic entre a 5.3.0 e a 5.6.1 (este intervalo de versão representa apenas uma semana civil); 2. Utilizam a tag `user:register_form`; 3. Utilizam contas de usuário baseadas em arquivos (não afeta usuários armazenados em banco de dados); 4. Possuem usuários que se registraram durante esse período (usuários existentes não são afetados). Além disso, as senhas só ficam visíveis para usuários com acesso de leitura aos arquivos yaml dos usuários, tipicamente os desenvolvedores da própria aplicação. Este problema foi corrigido na versão 5.6.2; no entanto, quaisquer usuários registrados durante aquele período e que utilizem o intervalo de versões afetadas ainda terão o valor `password_confirmation` em seus arquivos yaml. Recomenda-se que os usuários afetados redefinam suas senhas. Os administradores do sistema são aconselhados a atualizar suas implantações. Não há soluções alternativas conhecidas para esta vulnerabilidade. Qualquer pessoa que envie seus arquivos para um repositório git público pode considerar a limpeza dos dados sensíveis do histórico do git, pois é provável que as senhas tenham sido enviadas.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsável

GitHub, Inc.

Reservar

20/05/2024

Divulgação

31/05/2024

Moderação

aceite

Entrada

VDB-266743

CPE

pronto

EPSS

0.00137

KEV

não

Atividades

muito baixo

Fontes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!