Описание
Formie is a Craft CMS plugin for creating forms. Prior to 2.1.6, users with access to a form's settings can include malicious Twig code into fields that support Twig. These might be the Submission Title or the Success Message. This code will then be executed upon creating a submission, or rendering the text. This has been fixed in Formie 2.1.6.
Ссылки
- Patch
- Vendor Advisory
- Patch
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 2.0.44 (исключая)Версия от 2.1.0 (включая) до 2.1.6 (исключая)
Одно из
cpe:2.3:a:verbb:formie:*:*:*:*:*:craft_cms:*:*
cpe:2.3:a:verbb:formie:*:*:*:*:*:craft_cms:*:*
EPSS
Процентиль: 44%
0.00218
Низкий
4.4 Medium
CVSS3
Дефекты
CWE-1336
Связанные уязвимости
CVSS3: 4.4
github
больше 1 года назад
verbb/formie Server-Side Template Injection for variable-enabled settings
EPSS
Процентиль: 44%
0.00218
Низкий
4.4 Medium
CVSS3
Дефекты
CWE-1336