9высокая
BDU:2025-01099
Уязвимость системы управления контентом Craft CMS, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю выполнить произвольный код или реализовать атаку внедрения шаблонов на стороне сервера (Server Side Template Injection (SSTI))
Опубликовано: 2025-02-04
Описание
Уязвимость системы управления контентом Craft CMS связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код или реализовать атаку внедрения шаблонов на стороне сервера (Server Side Template Injection (SSTI))
Затрагиваемое ПО и версии
Crafter CMS (от 5.0.0-RC1 до 5.4.6)Crafter CMS (от 4.0.0-RC1 до 4.12.5)
Способ устранения
Использование рекомендаций:
https://github.com/craftcms/cms/security/advisories/GHSA-jrh5-vhr9-qh7q
Оценка CVSS
| Балл | 9 — высокая опасность |
Источники и патчи