Контактная форма от плагина Supsystic для WordPress уязвима к внедрению шаблонов на стороне сервера (SSTI), что приводит к удаленному выполнению кода (RCE) во всех версиях до 1.7.36 включительно. Это связано с тем, что плагин использует механизм шаблонов Twig `Twig_Loader_String` без изолированной программной среды в сочетании с функцией предварительного заполнения `cfsPreFill`, которая позволяет неаутентифицированным пользователям вставлять произвольные выражения Twig в значения полей формы через параметры GET. Это позволяет неаутентифицированным злоумышленникам выполнять произвольные функции PHP и команды ОС на сервере, используя метод Twig `registerUndefineFilterCallback()` для регистрации произвольных обратных вызовов PHP.
Показать оригинальное описание (EN)
The Contact Form by Supsystic plugin for WordPress is vulnerable to Server-Side Template Injection (SSTI) leading to Remote Code Execution (RCE) in all versions up to, and including, 1.7.36. This is due to the plugin using the Twig `Twig_Loader_String` template engine without sandboxing, combined with the `cfsPreFill` prefill functionality that allows unauthenticated users to inject arbitrary Twig expressions into form field values via GET parameters. This makes it possible for unauthenticated attackers to execute arbitrary PHP functions and OS commands on the server by leveraging Twig's `registerUndefinedFilterCallback()` method to register arbitrary PHP callbacks.
Характеристики атаки
Последствия
Строка CVSS v3.1