CVE-2024-52293丨Craft 可能因缺少路径规范化和 Twig SSTI 而导致远程代码执行

2024年11月14日 130点热度 0人点赞 0条评论

Craft 可能因缺少路径规范化和 Twig SSTI 而导致远程代码执行（CVE-2024-52293）

CVE编号

CVE-2024-52293

利用情况

暂无

补丁情况

N/A

披露时间

2024-11-14

漏洞描述

Craft 是一个内容管理系统（CMS）。在 4.12.2 和 5.4.3 之前，Craft 在 FileHelper::absolutePath 函数中缺少 normalizePath，可能导致通过 Twig SSTI 在服务器上执行远程代码。这是 CVE-2023-40035 的延续。此漏洞已在 4.12.2 和 5.4.3 中得到修复。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://github.com/craftcms/cms/commit/123e48a696de1e2f63ab519d4730eb3b87beaa58
https://github.com/craftcms/cms/security/advisories/GHSA-f3cw-hg6r-chfv

CVE-2024-52293丨Craft 可能因缺少路径规范化和 Twig SSTI 而导致远程代码执行

Craft 可能因缺少路径规范化和 Twig SSTI 而导致远程代码执行（CVE-2024-52293）

漏洞描述

解决建议

参考链接

文章评论