Craft CMS — это система управления контентом (CMS). Начиная с версии 4.0.0-RC1 до версии 4.17.5 и до версии 5.0.0-RC1 до версии 5.9.11, существует уязвимость RCE внедрения поведения в ElementIndexesController и FieldsController. Чтобы это работало, необходимо включить права администратора панели управления Craft и параметрallowAdminChanges.
Эта проблема исправлена в версиях 4.17.5 и 5.9.11.
Показать оригинальное описание (EN)
Craft CMS is a content management system (CMS). From version 4.0.0-RC1 to before version 4.17.5 and from version 5.0.0-RC1 to before version 5.9.11, there is a Behavior injection RCE vulnerability in ElementIndexesController and FieldsController. Craft control panel administrator permissions and allowAdminChanges must be enabled for this to work. This issue has been patched in versions 4.17.5 and 5.9.11.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 8
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Craftcms Craft_Cms
cpe:2.3:a:craftcms:craft_cms:*:*:*:*:*:*:*:*
|
4.0.0.1
|
4.17.5
|
|
Craftcms Craft_Cms
cpe:2.3:a:craftcms:craft_cms:*:*:*:*:*:*:*:*
|
5.0.1
|
5.9.11
|
|
Craftcms Craft_Cms
cpe:2.3:a:craftcms:craft_cms:4.0.0:-:*:*:*:*:*:*
|
— | — |
|
Craftcms Craft_Cms
cpe:2.3:a:craftcms:craft_cms:4.0.0:rc1:*:*:*:*:*:*
|
— | — |
|
Craftcms Craft_Cms
cpe:2.3:a:craftcms:craft_cms:4.0.0:rc2:*:*:*:*:*:*
|
— | — |
|
Craftcms Craft_Cms
cpe:2.3:a:craftcms:craft_cms:4.0.0:rc3:*:*:*:*:*:*
|
— | — |
|
Craftcms Craft_Cms
cpe:2.3:a:craftcms:craft_cms:5.0.0:-:*:*:*:*:*:*
|
— | — |
|
Craftcms Craft_Cms
cpe:2.3:a:craftcms:craft_cms:5.0.0:rc1:*:*:*:*:*:*
|
— | — |