Alapadatok
Súlyosság: Kritikus
CVSS vektor: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
CVSS base score: 10.0
Kihasználhatóság:
- Hálózatról kihasználható
- Alacsony komplexitás
- Nem szükséges jogosultság
- Nem szükséges felhasználói interakció
Következmények
Loss of integrity (Sértetlenség elvesztése)
Publikálás dátuma: 2025.04.29.
Érintett rendszerek: CMS Craftcms
Leírás
A program nem, vagy nem megfelelően szűri a bemeneten feltöltött speciális elemeket, ennek következtében megváltoztatható egy adott kódszegmens szintaxisa vagy viselkedése.
Leírás forrása: CWE-94
Leírás utolsó módosítása: 2025.04.03.
Hivatkozások
https://github.com/craftcms/cms/blob/3.x/CHANGELOG.md#3915---2025-04-10-critical
https://github.com/craftcms/cms/blob/4.x/CHANGELOG.md#41415---2025-04-10-critical
https://github.com/craftcms/cms/blob/5.x/CHANGELOG.md#5617---2025-04-10-critical
https://github.com/craftcms/cms/commit/e1c85441fa47eeb7c688c2053f25419bc0547b47
https://github.com/craftcms/cms/security/advisories/GHSA-f3gw-9ww9-jmc3
https://sensepost.com/blog/2025/investigating-an-in-the-wild-campaign-using-rce-in-craftcms/