Uwierzytelniony użytkownik backendu October CMS z uprawnieniami do edycji stron, layoutów lub partials może uciec z piaskownicy Twig i wykonać dowolny kod PHP, nawet gdy włączony jest tryb bezpieczny `cms.safe_mode`. Podatność otrzymała krytyczny wynik CVSS 9.1 ze względu na pełne naruszenie poufności, integralności i dostępności systemu.
▸ Pokaż oryginał (EN)
October is a Content Management System (CMS) and web platform to assist with development workflow. An authenticated backend user with the `editor.cms_pages`, `editor.cms_layouts`, or `editor.cms_partials` permissions who would normally not be permitted to provide PHP code to be executed by the CMS due to `cms.safe_mode` being enabled can write specific Twig code to escape the Twig sandbox and execute arbitrary PHP. This issue has been patched in 3.4.15.
Mechanizm polega na tym, że atakujący tworzący specjalnie spreparowany kod Twig jest w stanie ominąć ograniczenia piaskownicy (sandbox) silnika szablonów Twig. Mimo że tryb `cms.safe_mode` ma zapobiegać bezpośredniemu wykonywaniu PHP przez edytorów CMS, odpowiednio skonstruowany payload Twig pozwala wyrwać się poza nałożone ograniczenia i wykonać arbitralny kod PHP w kontekście serwera. Podatność jest klasyfikowana jako CWE-94, czyli nieprawidłowa kontrola generowania kodu.
Atakujący może wykonać dowolny kod PHP na serwerze, co w praktyce oznacza pełne przejęcie kontroli nad aplikacją i serwerem, w tym kradzież danych, modyfikację treści oraz potencjalny dostęp do innych systemów w sieci.
Należy zaktualizować October CMS do wersji 3.4.15 lub nowszej, w której podatność została załatana. Jako dodatkowy środek zaradczy warto zweryfikować i ograniczyć przyznawanie uprawnień edytorskich do zaufanych użytkowników.
October CMS w wersjach przed 3.4.15 — dotyczy instancji, w których użytkownicy posiadają uprawnienia `editor.cms_pages`, `editor.cms_layouts` lub `editor.cms_partials`
Podatność wymaga uwierzytelnienia i posiadania konkretnych uprawnień backendowych, jednak obejście mechanizmu `cms.safe_mode` czyni ją szczególnie niebezpieczną w środowiskach wieloużytkownikowych.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:HOctobercms October
APPOctobercms3.0.0 – 3.4.15 (bez)
Powiązane podatności
An issue was discovered in October through build 471. It reactivates an old session ID (which had been invalid...
October CMS build 412 is vulnerable to file path modification in asset move functionality resulting in creatin...
October CMS build 412 is vulnerable to PHP code execution in the asset manager functionality resulting in site...
October CMS build 412 is vulnerable to Apache configuration modification via file upload functionality resulti...
octobercms in a CMS platform based on the Laravel PHP Framework. In affected versions of the october/system pa...