9высокая
BDU:2025-01100
Уязвимость системы управления контентом Craft CMS, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю выполнить произвольный код или реализовать атаку внедрения шаблонов на стороне сервера (Server Side Template Injection (SSTI))
Опубликовано: 2025-02-04
Описание
Уязвимость системы управления контентом Craft CMS связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код или реализовать атаку внедрения шаблонов на стороне сервера (Server Side Template Injection (SSTI))
Затрагиваемое ПО и версии
Crafter CMS (от 4.0.0-RC1 до 4.12.2)Crafter CMS (от 5.0.0-RC1 до 5.4.3)
Способ устранения
Использование рекомендаций:
https://github.com/craftcms/cms/security/advisories/GHSA-f3cw-hg6r-chfv
Оценка CVSS
| Балл | 9 — высокая опасность |
Источники и патчи