Craft CMS

Die Schwachstelle betrifft Craft CMS, ein verbreitetes Content-Management-System zum Aufbau individueller Web-Auftritte. Der Fehler ist eine Code-Injection: Unter bestimmten Voraussetzungen kann ein Angreifer aus der Ferne eigenen Programmcode auf dem Server einschleusen und ausführen. Verwundbar sind allerdings nur Installationen, bei denen in der PHP-Konfiguration (php.ini) die Einstellung register_argc_argv aktiviert ist – nur dann steht der Angriffsweg offen. Der genaue technische Mechanismus, über den die Ausführung erreicht wird, ist nicht näher beschrieben; im Ergebnis erlangt der Angreifer jedoch die Möglichkeit, beliebigen Code auf dem System auszuführen, was auf eine Übernahme der betroffenen Web-Anwendung hinauslaufen kann. Betroffen sind Betreiber von Craft-CMS-Installationen mit der genannten PHP-Einstellung; Systeme ohne aktiviertes register_argc_argv sind nach den vorliegenden Angaben nicht angreifbar.