사이버 보안 솔루션 기업 어셋노트(Assetnote)가 크래프트 CMS(Craft CMS)에서 인증되지 않은 공격자가 영향을 받는 시스템에서 임의의 코드를 실행하는 심각한 보안 취약점을 발견했다.

크래프트 CMS는 전 세계적으로 15만 개 이상의 웹사이트에서 사용되는 가장 인기 있는 콘텐츠 관리 시스템 중 하나이다. 웹사이트와 디지털 경험을 구축, 관리 및 유지보수하기 위해 설계된 강력한 콘텐츠 관리 시스템으로 직관적인 사용자 인터페이스와 유연한 템플릿 엔진을 제공하며, 개발자가 완전한 제어권을 갖고 사용자 정의 가능하다. PHP로 구축되었으며, 뛰어난 보안, 성능, 확장성을 제공하며, 다국어 지원, API 통합, 전자상거래 플러그인 등 다양한 기능을 통해 맞춤형 웹 개발을 지원한다.

이번 취약점으로 많은 조직에 중대한 보안 문제가 될 수 있다. 이 취약점은 PHP의 기본 설정을 사용하는 크래프트 CMS 5.5.2 및 4.13.2 이전 버전의 설치 환경에 영향을 미친다. 이 취약점은 PHP의 `register_argc_argv` 설정과 크래프트 CMS의 명령어 인자 처리를 악용하여 인증되지 않은 원격 공격자가 원격 코드 실행(RCE)을 수행할 수 있도록 한다. 크래프트 CMS의 부트스트랩 과정에서 명령어 인자를 처리하는 방식에서 비롯된다.

PHP의 `register_argc_argv` 설정이 활성화된 경우(기본 설정), 공격자는 특정 쿼리 매개변수를 전달하여 애플리케이션의 파일 경로 처리를 조작할 수 있다. 이를 통해 템플릿 인젝션을 이용해 임의의 코드를 실행할 수 있다.

이 취약점에 노출되었다면 크래프트 CMS를 업그레이드하거나 `register_argc_argv` 설정을 비활성화하여 문제를 완화할 수 있다.

2024년 11월 19일, 어셋노트 보안 연구팀은 PHP의 기본 설정이 활성화된 상태에서 인증 없이 시스템 명령어를 실행할 수 있는 취약점이 존재함을 크래프트 CMS 팀에 공개했다. 크래프트 CMS 팀은 이 정보를 받은 후 24시간 내에 문제를 해결하고 CVE-2024-56145를 할당했다.

어셋노트의 CTO 겸 공동 창업자인 슈브함 샤(Shubham Shah)는 "우리의 공격 표면 관리 고객들이 의존하는 서드파티 제품에 대해 제로데이 연구를 수행하여 플랫폼의 발견 능력을 지속적으로 개선한다."라며 "크래프트 CMS 팀이 이 문제를 24시간 내에 해결해 준 데 대해 감사하며, 고객 보호를 위한 그들의 협력 의지에 깊이 공감한다."라고 말했다.