CVE-2024-28116
Server-Side Template Injection (SSTI) with Grav CMS security sandbox bypass
Em resumo
O Grav CMS em versões anteriores à 1.7.45 permite que usuários autenticados com permissão de editor injetem código malicioso em templates, burlando proteções de segurança e executando código arbitrário no servidor.
Detalhe técnico
Vulnerabilidade de Server-Side Template Injection (SSTI) no Grav CMS anterior à versão 1.7.45 permite que usuários autenticados com permissões de editor escapem da sandbox de templates e executem código remoto. O ataque explora processamento inadequado de templates que falha em aplicar restrições da sandbox, possibilitando execução de código arbitrário com privilégios do servidor.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Grav is an open-source, flat-file content management system. Grav CMS prior to version 1.7.45 is vulnerable to a Server-Side Template Injection (SSTI), which allows any authenticated user (editor permissions are sufficient) to execute arbitrary code on the remote server bypassing the existing security sandbox. Version 1.7.45 contains a patch for this issue.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
getgrav · gravQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →