Uwierzytelniony administrator Craft CMS może wykonać dowolny kod na serwerze (RCE) poprzez wstrzyknięcie złośliwego payload SSTI w pola szablonów Twig, takie jak Email Templates. Podatność jest krytyczna, ponieważ pozwala na pełne przejęcie kontroli nad systemem — zarówno samą aplikacją, jak i środowiskiem serwera.
▸ Pokaż oryginał (EN)
Craft is a content management system (CMS). Prior to 4.17.0-beta.1 and 5.9.0-beta.1, an authenticated administrator can achieve Remote Code Execution (RCE) by injecting a Server-Side Template Injection (SSTI) payload into Twig template fields (e.g., Email Templates). By calling the craft.app.fs.write() method, an attacker can write a malicious PHP script to a web-accessible directory and subsequently access it via the browser to execute arbitrary system commands. This vulnerability is fixed in 4.17.0-beta.1 and 5.9.0-beta.1.
Atakujący z uprawnieniami administratora wstrzykuje payload Server-Side Template Injection (SSTI) do pól obsługujących szablony Twig (np. Email Templates). Następnie wykorzystuje metodę craft.app.fs.write(), aby zapisać złośliwy skrypt PHP w katalogu dostępnym przez przeglądarkę. Po zapisaniu pliku atakujący wywołuje go bezpośrednio przez HTTP, co skutkuje wykonaniem dowolnych poleceń systemowych na serwerze.
Atakujący może wykonać dowolne polecenia systemowe na serwerze, zapisywać pliki w dostępnych katalogach webowych oraz potencjalnie przejąć pełną kontrolę nad systemem operacyjnym i danymi aplikacji.
Należy zaktualizować Craft CMS do wersji 4.17.0-beta.1 lub nowszej (gałąź 4.x) albo do wersji 5.9.0-beta.1 lub nowszej (gałąź 5.x). Szczegóły patcha dostępne są w repozytorium producenta na GitHub (pull requesty #18216 i #18219 oraz advisory GHSA-v47q-jxvr-p68x).
Craft CMS w wersjach wcześniejszych niż 4.17.0-beta.1 (gałąź 4.x) oraz wcześniejszych niż 5.9.0-beta.1 (gałąź 5.x)
Podatność wymaga posiadania uprawnień administratora w aplikacji, co ogranicza powierzchnię ataku — jednak w środowiskach z wieloma administratorami lub przy przejęciu konta administracyjnego ryzyko jest znaczące. Wektor CVSS 4.0 uwzględnia wysoki wpływ na systemy powiązane (SC:H/SI:H/SA:H).
CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XCraftcms Craft Cms
APPCraftcms4.0.05.0.0< 4.17.0< 5.9.0
Powiązane podatności
Krytyczny RCE w Craft CMS — zdalne wykonanie kodu bez uwierzytelnienia
RCE w Craft CMS przez nieprawidłową konfigurację register_argc_argv
Craft CMS: obejście bloklisty PHP w silniku Twig umożliwia RCE
SQL injection w Craft CMS przez endpoint GraphQL API
Craft CMS is a platform for creating digital experiences. This is a high-impact, low-complexity attack vector....