Pixel&Tonic Craft CMS Seomatic 模板注入漏洞
CVE编号
CVE-2020-12790利用情况
暂无补丁情况
N/A披露时间
2020-05-12漏洞描述
Pixel & Tonic Craft CMS是美国Pixel&Tonic公司的一套内容管理系统(CMS)。Seomatic是其中的一个SEO(搜索引擎优化)组件。Seomatic 3.2.49之前版本(用于Craft CMS)中存在注入漏洞。该漏洞源于helpers/ dynamicmetag .php未合理验证URL。攻击者可利用该漏洞在分号后面注入特制的Twig模板导致服务器端模板注入和凭证泄露。解决建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://github.com/nystudio107/craft-seomatic/commit/82f4a25b28fd622393da6592dc9e5ccee7fc5be3受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | nystudio107 | seomatic | * | Up to (excluding) 3.2.49 | |||||
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 无
- 保密性 高
- 完整性 无
| CWE-ID | 漏洞类型 |
| CWE-74 | 输出中的特殊元素转义处理不恰当(注入) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论