PT-2026-41792 · Verbb+1 · Formie+1
Pwnsauc3
·
Publicado
2026-05-18
·
Atualizado
2026-05-29
·
CVE-2026-45697
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Formie versões anteriores a 2.2.20
Formie versões anteriores a 3.1.24
Description
Usuários não autenticados podem enviar valores manipulados em campos Ocultos (Hidden) configurados com um valor padrão Personalizado (Custom). Esses valores são avaliados como Twig durante o processamento da submissão, o que pode levar a um comprometimento grave do site Craft, dependendo do comportamento do template ou do sandbox.
Recommendations
Atualize para a versão 2.2.20.
Atualize para a versão 3.1.24.
Como medida paliativa temporária, remova campos Ocultos de formulários públicos ou altere o valor padrão do campo Oculto para algo diferente de Personalizado.
Correção
Protection Mechanism Failure
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Formie
Verbb/Formie