Craft - это система управления контентом (CMS). До 5.8.22 и 4.16.18 можно создать вредоносную полезную нагрузку, используя фильтр карты Twi…
Craft - это система управления контентом (CMS). До 5.8.22 и 4.16.18 можно создать вредоносную полезную нагрузку, используя фильтр карты Twig в текстовых полях, которые принимают ввод Twig в разделе «Настройки» в панели управления Craft или с помощью утилиты «Системные сообщения», что может привести к RCE. Чтобы это работало, вы должны иметь доступ администратора к панели управления ремесленными аппаратами, и для этого должен быть включен смены администратора, что противоречит нашим рекомендациям для любой среды, не относящихся к методам. Кроме того, вы можете иметь учетную запись, не являющуюся администратором, с отключенным разрешением Администратора, но у вас есть доступ к утилите системных сообщений. Пользователи должны обновить исправленные версии (5.8.22 и 4.16.18), чтобы смягчить проблему.
Продукт использует шаблонизатор для вставки или обработки входных данных, поступающих извне, однако не нейтрализует или некорректно нейтрализует специальные элементы или синтаксические конструкции, которые при обработке движком могут интерпретироваться как выражения шаблона или иные директивы кода.
https://cwe.mitre.org/data/definitions/1336.html →Открыть в коллекции CWE →