Craft CMS — это система управления контентом (CMS). Начиная с версии 4.0.0-RC1 до версии 4.17.8 и до версии 5.0.0-RC1 до версии 5.9.14, гостевые пользователи могут получать доступ к индексу средства обновления Config Sync, получать подписанные данные и выполнять действия Config Sync, изменяющие состояние (regenerate-yaml, apply-yaml-changes) без аутентификации. Эта проблема исправлена в версиях 4.17.8 и 5.9.14.
Показать оригинальное описание (EN)
Craft CMS is a content management system (CMS). From version 4.0.0-RC1 to before version 4.17.8 and from version 5.0.0-RC1 to before version 5.9.14, guest users can access Config Sync updater index, obtain signed data, and execute state-changing Config Sync actions (regenerate-yaml, apply-yaml-changes) without authentication. This issue has been patched in versions 4.17.8 and 5.9.14.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 8
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Craftcms Craft_Cms
cpe:2.3:a:craftcms:craft_cms:*:*:*:*:*:*:*:*
|
> 4.0.0
|
4.17.8
|
|
Craftcms Craft_Cms
cpe:2.3:a:craftcms:craft_cms:*:*:*:*:*:*:*:*
|
> 5.0.0
|
5.9.14
|
|
Craftcms Craft_Cms
cpe:2.3:a:craftcms:craft_cms:4.0.0:-:*:*:*:*:*:*
|
— | — |
|
Craftcms Craft_Cms
cpe:2.3:a:craftcms:craft_cms:4.0.0:rc1:*:*:*:*:*:*
|
— | — |
|
Craftcms Craft_Cms
cpe:2.3:a:craftcms:craft_cms:4.0.0:rc2:*:*:*:*:*:*
|
— | — |
|
Craftcms Craft_Cms
cpe:2.3:a:craftcms:craft_cms:4.0.0:rc3:*:*:*:*:*:*
|
— | — |
|
Craftcms Craft_Cms
cpe:2.3:a:craftcms:craft_cms:5.0.0:-:*:*:*:*:*:*
|
— | — |
|
Craftcms Craft_Cms
cpe:2.3:a:craftcms:craft_cms:5.0.0:rc1:*:*:*:*:*:*
|
— | — |