Craft CMS — это система управления контентом (CMS). Начиная с версии 5.6.0 и до версии 5.9.13, в Craft CMS существует уязвимость удаленного выполнения кода (RCE), которой может воспользоваться любой прошедший проверку подлинности пользователь с доступом к панели управления. Это обход предыдущего исправления.
Существующие патчи добавляют cleanConfig() в assembleLayoutFromPost() и различные действия FieldsController для удаления ключей поведения/вставки событий Yii2 («как» и «on» с префиксными ключами). Однако параметр fieldLayouts в ElementIndexesController::actionFilterHud() передается непосредственно в FieldLayout::createFromConfig() без какой-либо очистки, что обеспечивает ту же самую цепочку атак с внедрением поведения. Эта проблема исправлена в версии 5.9.13.
Показать оригинальное описание (EN)
Craft CMS is a content management system (CMS). From version 5.6.0 to before version 5.9.13, a Remote Code Execution (RCE) vulnerability exists in Craft CMS, it can be exploited by any authenticated user with control panel access. This is a bypass of a previous fix. The existing patches add cleanseConfig() to assembleLayoutFromPost() and various FieldsController actions to strip Yii2 behavior/event injection keys ("as" and "on" prefixed keys). However, the fieldLayouts parameter in ElementIndexesController::actionFilterHud() is passed directly to FieldLayout::createFromConfig() without any sanitization, enabling the same behavior injection attack chain. This issue has been patched in version 5.9.13.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Craftcms Craft_Cms
cpe:2.3:a:craftcms:craft_cms:*:*:*:*:*:*:*:*
|
5.6.0
|
5.9.13
|