Craft Commerce — это платформа электронной коммерции для Craft CMS. В версиях с 4.0.0 по 4.10.2 и с 5.0.0 по 5.5.4 существует уязвимость внедрения SQL-кода в виджете Commerce TotalRevenue, которая позволяет любому авторизованному пользователю панели управления добиться удаленного выполнения кода с помощью четырехэтапной цепочки эксплуатации. Атака использует несанкционированные настройки виджетов, интерполированные в выражения SQL, в сочетании с поддержкой многозадачных запросов PDO по умолчанию, чтобы внедрить злонамеренный сериализованный объект PHP в таблицу очереди.
Когда потребитель очереди обрабатывает введенное задание, неограниченный вызов unserialize() в yii2-queue создает экземпляр цепочки гаджетов GuzzleHttp FileCookieJar, метод __destruct() записывает веб-оболочку PHP в корневой каталог сервера. Полная цепочка требует всего трех HTTP-запросов, никаких административных привилегий и приводит к выполнению произвольной команды от имени пользователя процесса PHP с обработкой очереди, запускаемой через неаутентифицированную конечную точку. Эта проблема исправлена в версиях 4.10.3 и 5.5.5.
Показать оригинальное описание (EN)
Craft Commerce is an ecommerce platform for Craft CMS. In versions 4.0.0 through 4.10.2 and 5.0.0 through 5.5.4, there is an SQL injection vulnerability in the Commerce TotalRevenue widget which allows any authenticated control panel user to achieve remote code execution through a four-step exploitation chain. The attack exploits unsanitized widget settings interpolated into SQL expressions, combined with PDO's default multi-statement query support, to inject a maliciously serialized PHP object into the queue table. When the queue consumer processes the injected job, the unrestricted unserialize() call in yii2-queue instantiates a GuzzleHttp FileCookieJar gadget chain whose __destruct() method writes a PHP webshell to the server's webroot. The complete chain requires only three HTTP requests, no administrative privileges, and results in arbitrary command execution as the PHP process user, with queue processing triggered via an unauthenticated endpoint. This issue has been fixed in versions 4.10.3 and 5.5.5.
Характеристики атаки
Последствия
Строка CVSS v4.0