CVE-2024-36119 in Statamic
Sumário
de VulDB • 13/07/2026
O Statamic é um CMS alimentado por Laravel + Git, projetado para a criação de sites. Nas versões afetadas, os usuários que se registram através da tag `user:register_form` terão sua confirmação de senha armazenada em texto puro no seu arquivo de usuário. Isso afeta apenas os sites que atendem **todas** as seguintes condições: 1. Estão executando versões do Statamic entre a 5.3.0 e a 5.6.1 (este intervalo de versão representa apenas uma semana civil); 2. Utilizam a tag `user:register_form`; 3. Utilizam contas de usuário baseadas em arquivos (não afeta usuários armazenados em banco de dados); 4. Possuem usuários que se registraram durante esse período (usuários existentes não são afetados). Além disso, as senhas só ficam visíveis para usuários com acesso de leitura aos arquivos yaml dos usuários, tipicamente os desenvolvedores da própria aplicação. Este problema foi corrigido na versão 5.6.2; no entanto, quaisquer usuários registrados durante aquele período e que utilizem o intervalo de versões afetadas ainda terão o valor `password_confirmation` em seus arquivos yaml. Recomenda-se que os usuários afetados redefinam suas senhas. Os administradores do sistema são aconselhados a atualizar suas implantações. Não há soluções alternativas conhecidas para esta vulnerabilidade. Qualquer pessoa que envie seus arquivos para um repositório git público pode considerar a limpeza dos dados sensíveis do histórico do git, pois é provável que as senhas tenham sido enviadas.
If you want to get best quality of vulnerability data, you may have to visit VulDB.