Podatność w Invision Community 5.0.0–5.0.6 umożliwia nieuwierzytelnionym atakującym zdalne wykonanie dowolnego kodu PHP (RCE). Brak kontroli dostępu do chronionej metody kontrolera themeeditor pozwala na jej wywołanie bez logowania.
▸ Pokaż oryginał (EN)
Invision Community 5.0.0 before 5.0.7 allows remote code execution via crafted template strings to themeeditor.php. The issue lies within the themeeditor controller (file: /applications/core/modules/front/system/themeeditor.php), where a protected method named customCss can be invoked by unauthenticated users. This method passes the value of the content parameter to the Theme::makeProcessFunction() method; hence it is evaluated by the template engine. Accordingly, this can be exploited by unauthenticated attackers to inject and execute arbitrary PHP code by providing crafted template strings.
Kontroler themeeditor (plik /applications/core/modules/front/system/themeeditor.php) zawiera chronioną metodę customCss, która może zostać wywołana przez nieuwierzytelnionego użytkownika — stanowi to obejście mechanizmu autoryzacji (Auth Bypass). Metoda ta przekazuje wartość parametru content do funkcji Theme::makeProcessFunction(), gdzie jest ona ewaluowana przez silnik szablonów. Atakujący może dostarczyć spreparowane ciągi szablonów (crafted template strings) zawierające złośliwy kod PHP, który zostanie wykonany po stronie serwera.
Nieuwierzytelniony atakujący może wykonać dowolny kod PHP na serwerze, co prowadzi do pełnego przejęcia kontroli nad aplikacją i systemem, kradzieży danych, modyfikacji treści lub dalszego lateral movement w infrastrukturze.
Należy niezwłocznie zaktualizować Invision Community do wersji 5.0.7 lub nowszej, zgodnie z informacjami producenta dostępnymi pod adresem https://invisioncommunity.com/release-notes-v5/507-r41/
Invision Community w wersjach 5.0.0 do 5.0.6 (przed 5.0.7)
Podatność została opisana przez badaczy z Karma Security (raport KIS-2025-02) oraz opublikowana na liście Full Disclosure w maju 2025. Dostępny jest publiczny opis techniczny mechanizmu exploitacji.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HInvisioncommunity
APPInvisioncommunity5.0.0 – 5.0.7 (bez)
Powiązane podatności
SQL Injection w Invision Community — nieuwierzytelniony Blind SQLi w module sklepu
A Server-Side Request Forgery (SSRF) vulnerability in IPS Community Suite before 4.6.2 allows remote authentic...
Invision Power Board (IPB) through 3.x allows admin account takeover leading to code execution.
Invision Power Board before 3.3.1 fails to sanitize user-supplied input which could allow remote attackers to ...
Invision Power Services (IPS) Community Suite 4.1.19.2 and earlier has stored XSS in the Announcements, allowi...