Craft — это система управления контентом (CMS). До версий 5.9.9 и 4.17.4 в системе условий Craft CMS 5 существовала уязвимость удаленного выполнения кода. Метод BaseElementSelectConditionRule::getElementIds() передает управляемый пользователем ввод строки через renderObjectTemplate() — функцию рендеринга Twig без изолированной программной среды с отключенным экранированием.
Любой прошедший проверку подлинности пользователь панели управления (включая роли, не являющиеся администраторами, такие как автор или редактор) может получить полный RCE, отправив созданное правило условия через конечные точки стандартного списка элементов. Эта уязвимость не требует ни прав администратора, ни специальных разрешений, кроме базового доступа к панели управления, и обходит все настройки усиления безопасности производства (allowAdminChanges: false, devMode: false, EnableTwigSandbox: true). Пользователям следует обновиться до исправленной версии 5.9.9 или 4.17.4, чтобы устранить проблему.
Показать оригинальное описание (EN)
Craft is a content management system (CMS). Prior to 5.9.9 and 4.17.4, a Remote Code Execution vulnerability exists in the Craft CMS 5 conditions system. The BaseElementSelectConditionRule::getElementIds() method passes user-controlled string input through renderObjectTemplate() -- an unsandboxed Twig rendering function with escaping disabled. Any authenticated Control Panel user (including non-admin roles such as Author or Editor) can achieve full RCE by sending a crafted condition rule via standard element listing endpoints. This vulnerability requires no admin privileges, no special permissions beyond basic control panel access, and bypasses all production hardening settings (allowAdminChanges: false, devMode: false, enableTwigSandbox: true). Users should update to the patched 5.9.9 or 4.17.4 release to mitigate the issue.
Характеристики атаки
Последствия
Строка CVSS v4.0