Craft CMS — это система управления контентом (CMS). Начиная с версии 5.6.0 и до версии 5.9.11, в src/controllers/EntryTypesController.php массив $settings из parse_str передается непосредственно в Craft::configure() без Component::cleanseConfig(). Это позволяет внедрять обработчики поведения/событий Yii2 с помощью ключей с префиксом «as» или «on», тот же вектор атаки, что и исходная рекомендация.
Чтобы это работало, необходимо включить права администратора панели управления Craft и параметрallowAdminChanges. Эта проблема исправлена в версии 5.9.11.
Показать оригинальное описание (EN)
Craft CMS is a content management system (CMS). From version 5.6.0 to before version 5.9.11, in src/controllers/EntryTypesController.php, the $settings array from parse_str is passed directly to Craft::configure() without Component::cleanseConfig(). This allows injecting Yii2 behavior/event handlers via "as" or "on" prefixed keys, the same attack vector as the original advisory. Craft control panel administrator permissions and allowAdminChanges must be enabled for this to work. This issue has been patched in version 5.9.11.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Craftcms Craft_Cms
cpe:2.3:a:craftcms:craft_cms:*:*:*:*:*:*:*:*
|
5.6.0
|
5.9.11
|