October — это бесплатная платформа CMS с открытым исходным кодом и самостоятельным хостингом, основанная на PHP-фреймворке Laravel. Обнаруж…

October — это бесплатная платформа CMS с открытым исходным кодом и самостоятельным хостингом, основанная на PHP-фреймворке Laravel. Обнаружен обход CVE-2020-15247 (исправлено в 1.0.469 и 1.1.0), который имеет то же влияние, что и CVE-2020-15247. Аутентифицированный пользователь серверной части с разрешениями cms.manage_pages, cms.manage_layouts или cms.manage_partials, которому обычно не разрешается предоставлять PHP-код для выполнения CMS из-за включенного cms.enableSafeMode, может записывать определенный код Twig для выхода из песочницы Twig и выполнения произвольного PHP. Это не является проблемой для тех, кто доверяет своим пользователям с этими разрешениями обычно писать и управлять PHP в CMS, не включая cms.enableSafeMode, но будет проблемой для тех, кто полагается на cms.enableSafeMode, чтобы гарантировать, что пользователи с этими разрешениями в рабочей среде не имеют доступа к записи и выполнению произвольного PHP. Проблема исправлена в Build 470 (v1.0.470) и v1.1.1.