CVE-2024-28116

Опубликовано: 21 мар. 2024

Источник: nvd

CVSS3: 8.8

EPSS Средний

Описание

Grav is an open-source, flat-file content management system. Grav CMS prior to version 1.7.45 is vulnerable to a Server-Side Template Injection (SSTI), which allows any authenticated user (editor permissions are sufficient) to execute arbitrary code on the remote server bypassing the existing security sandbox. Version 1.7.45 contains a patch for this issue.

Ссылки

https://github.com/getgrav/grav/commit/4149c81339274130742831422de2685f298f3a6e
Patch
https://github.com/getgrav/grav/security/advisories/GHSA-c9gp-64c4-2rrh
Exploit
Vendor Advisory
https://github.com/getgrav/grav/commit/4149c81339274130742831422de2685f298f3a6e
Patch
https://github.com/getgrav/grav/security/advisories/GHSA-c9gp-64c4-2rrh
Exploit
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:getgrav:grav:*:*:*:*:*:*:*:*

Версия до 1.7.45 (исключая)

EPSS

Процентиль: 98%

0.56986

Средний

8.8 High

CVSS3

Дефекты

CWE-94

Связанные уязвимости

GHSA-c9gp-64c4-2rrh

CVSS3: 8.8

github

почти 2 года назад

Server-Side Template Injection (SSTI) with Grav CMS security sandbox bypass

BDU:2024-02464

CVSS3: 8.8

fstec

почти 2 года назад

Уязвимость CMS-системы Grav CMS, связанная с неверным управлением генерацией кода, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 98%

0.56986

Средний

8.8 High

CVSS3

Дефекты

CWE-94