CVE-2024-27923

Versões do Grav anteriores à 1.7.43

O problema surge devido à validação insuficiente de permissões e à validação inadequada de nomes de arquivos, permitindo que usuários com permissão para editar uma página utilizem o recurso frontmatter. Isso pode levar à execução remota de código. O recurso frontmatter funciona como um bloco de metadados para fornecer informações adicionais sobre uma página ou postagem. Usuários comuns podem explorar essa vulnerabilidade adicionando o parâmetro data[ json][header][form] ao corpo da solicitação POST ao criar uma página. Além disso, a validação inadequada de nomes de arquivos no recurso Formulário de Contato pode permitir a criação de arquivos, como arquivos PHP, no servidor, levando potencialmente à execução remota de código.

Para versões anteriores à 1.7.43, atualize para a versão 1.7.43 ou posterior para corrigir o problema. Como solução temporária, considere desativar o recurso frontmatter e restringir o acesso ao recurso Formulário de Contato até que um patch esteja disponível. Evite usar o atributo filename no recurso Formulário de Contato para minimizar o risco de exploração.