ГлавнаяБаза уязвимостей БДУ → BDU:2025-01100
9высокая

BDU:2025-01100

Уязвимость системы управления контентом Craft CMS, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю выполнить произвольный код или реализовать атаку внедрения шаблонов на стороне сервера (Server Side Template Injection (SSTI))
Опубликовано: 2025-02-04
Описание

Уязвимость системы управления контентом Craft CMS связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код или реализовать атаку внедрения шаблонов на стороне сервера (Server Side Template Injection (SSTI))

Затрагиваемое ПО и версии
Crafter CMS (от 4.0.0-RC1 до 4.12.2)Crafter CMS (от 5.0.0-RC1 до 5.4.3)
Способ устранения

Использование рекомендаций:
https://github.com/craftcms/cms/security/advisories/GHSA-f3cw-hg6r-chfv

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
https://github.com/craftcms/cms/commit/123e48a696de1e2f63ab519d4730eb3b87beaa58https://github.com/craftcms/cms/security/advisories/GHSA-f3cw-hg6r-chfv
Проверьте безопасность своего сайта и почты → Полная проверка домена