Craft CMS 模板注入导致 Rce漏洞复现(CVE-2024-56145)(附脚本)
0x01 产品描述:
Craft CMS 是一个灵活且强大的内容管理系统(CMS),专为创意团队和开发人员设计,提供高度可定制、直观且性能优越的网站和内容管理解决方案。它以用户友好的界面、强大的插件生态系统以及支持现代web开发最佳实践的特性而闻名
0x02 漏洞描述:
由于模板路径的输入验证缺失,导致未授权用户可以注入恶意路径并加载执行任意代码。攻击者利用 Craft CMS 的模板加载机制,通过伪造路径将恶意代码注入到系统的模板解析器中。一旦注入成功,攻击者即可通过反弹 Shell 或其他方式在目标服务器上执行任意代码,达到完全控制