CVE-2024-52293

Versões do Craft anteriores à 4.12.2 e à 5.4.3

O problema está relacionado à ausência de normalizePath na função FileHelper::absolutePath, o que poderia levar à execução remota de código no servidor por meio de injeção de modelo no lado do servidor (SSTI) do Twig. Essa vulnerabilidade pode ser explorada por usuários autenticados quando ALLOW ADMIN CHANGES=true. A vulnerabilidade permite a criação de um sistema de arquivos local dentro dos diretórios do sistema, o upload de um arquivo malicioso poc.ttml e a execução de código arbitrário usando uma nova rota com o caminho do modelo poc/poc.ttml.

Os detalhes técnicos sobre a exploração incluem o uso de endpoints e variáveis de API específicos, como a função FileHelper::absolutePath e a função isSystemDir em Security.php. O filtro find no Twig também foi utilizado na prova de conceito.

Para versões do Craft anteriores à 4.12.2, atualize para a versão 4.12.2 ou posterior.

Para versões do Craft anteriores à 5.4.3, atualize para a versão 5.4.3 ou posterior.

Como solução temporária, considere desativar a função FileHelper::absolutePath até que um patch esteja disponível.

Restrinja o acesso aos arquivos Security.php e Local.php para minimizar o risco de exploração.

Evite usar o filtro find no Twig até que o problema seja resolvido.