Craft CMS 出现 PHP 零日漏洞

据Cybersecuritynews消息，基于 PHP 且应用广泛的 Craft CMS 被发现存在重大安全漏洞（CVE-2024-56145），在默认配置下可允许未经身份验证的远程代码执行。该漏洞源于 PHP 的 “register_argc_argv” 配置设置，攻击者可借此操纵关键文件路径，进而执行任意代码。Craft CMS 全球超 15 万个网站在用，风险不容小觑，不过其团队已发布 5.5.2 + 和 4.13.2 + 等补丁版本，无法更新的用户可在 “php.ini” 文件中禁用相关设置来缓解风险。