Craft CMS 漏洞列表

Craft CMS before 3.3.0 is susceptible to server-side template injection via the SEOmatic component that could lead to remote code execution via malformed data submitted to the metacontainers controller.

Craft CMS up to v3.7.31 was discovered to contain a SQL injection vulnerability via the GraphQL API endpoint.

This template identifies a critical Remote Code Execution (RCE) vulnerability in Craft CMS, identified as GHSA-2p6p-9rc9-62j9. The vulnerability exists due to improper handling of the `--templatesPath` query parameter, allowing attackers to execute arbitrary code by referencing malicious Twig templates.

远程代码执行漏洞是指攻击者通过某些漏洞在服务器上执行任意代码，这通常是由于应用程序对外部输入的验证不足或处理不当造成的。攻击者可以利用这个漏洞上传恶意代码或直接通过HTTP请求发送恶意代码，从而控制服务器，进行包括数据窃取、网站篡改、服务器资源滥用等在内的多种恶意行为。

Craft CMS是一款灵活易用的内容管理系统 ，可用于在网页及其他平台上打造定制化的管理。Craft CMS从 3.0.0-RC1 版本到 3.9.15 之前的版本、4.0.0-RC1 版本到 4.14.15 之前的版本以及 5.0.0-RC1 版本到 5.6.17 之前的版本都存在远程代码执行漏洞，攻击者可通过特定的POST请求在未经身份验证的情况下执行任意代码，获取服务器权限。

Craft CMS是一个开源的内容管理系统，它专注于用户友好的内容创建过程，逻辑清晰明了，是一个高度自由，高度自定义设计的平台，可以用来创建个人或企业网站也可以搭建企业级电子商务系统。Craft CMS v3.7.31 之前的版本被发现通过 GraphQL API 接口存在 SQL 注入漏洞。攻击者可以利用该漏洞通过未授权的 GraphQL 查询执行盲（基于时间）的 SQL 注入，从而访问数据库中的敏感信息，甚至可能导致远程代码执行（RCE）。

Pixel＆tonic Craft CMS是美国Pixel＆tonic公司的一套内容管理系统（CMS）。Craft CMS存在SQL注入漏洞，攻击者可利用此漏洞获取数据库中敏感信息。

CraftCMS是一个既优雅又强大的PHP商业开源系统，是大多数五百强公司首选内容管理系统加品牌自营电商解决方案。其存在远程代码执行漏洞，攻击者可以获取服务器权限。

Pixel＆tonic Craft CMS是美国Pixel＆tonic公司的一套内容管理系统（CMS）。 Pixel＆tonic Craft CMS4.4.15之前版本存在代码注入漏洞，该漏洞源于存在远程代码执行漏洞。 Craft CMS是一个用于创建数字体验的平台。这是一种高影响力、低复杂性的攻击媒介。我们鼓励运行 4.4.15 之前的 Craft安装的用户至少更新到该版本以缓解该问题。此问题已在 Craft CMS 4.4.15 中修复。

Craft CMS 是一套内容管理系统。2023年9月，官方发布安全公告，披露 CVE-2023-41892 前台远程代码执行漏洞，攻击者可构造恶意请求执行任意代码，控制服务器。