漏洞概述
CVE-2025-68454 是 Craft CMS 中的一个安全漏洞,其严重性等级为中等(CVSS评分 5.2)。该漏洞源于对 Twig 模板引擎中特殊元素的不当中和(CWE-1336),可能导致经过身份验证的远程代码执行(RCE)。
受影响版本
- Craft CMS 5.x: 版本 >= 5.0.0-RC1 且 <= 5.8.20
- Craft CMS 4.x: 版本 >= 4.0.0-RC1 且 <= 4.16.16
已修复版本
- Craft CMS 5.8.21
- Craft CMS 4.16.17
漏洞详情
要利用此漏洞,攻击者需要满足以下条件之一:
- 拥有 Craft 控制面板的管理员权限,并且
allowAdminChanges配置项被启用(Craft CMS 官方不建议在生产环境中启用此设置)。 - 使用一个非管理员账户,在
allowAdminChanges被禁用的情况下,但该账户能够访问“系统消息”实用工具。
攻击者可以在 Craft 控制面板的“设置”中接受 Twig 输入的文本字段里,或通过“系统消息”实用工具,构造包含恶意负载的 Twig map 过滤器,从而可能导致远程代码执行。
缓解措施
用户应立即更新到已修复的版本(5.8.21 或 4.16.17)以解决此问题。
参考链接
- 修复提交: craftcms/cms@d82680f
- Craft CMS 5.x 更新日志: https://github.com/craftcms/cms/blob/5.x/CHANGELOG.md#5821---2025-12-04
- GitHub 安全公告: GHSA-742x-x762-7383
- NVD 漏洞详情: https://nvd.nist.gov/vuln/detail/CVE-2025-68454
CVSS v4.0 指标
- 攻击向量(AV): 网络(N)
- 攻击复杂度(AC): 低(L)
- 攻击前提(AT): 存在(P)
- 所需权限(PR): 低(L)
- 用户交互(UI): 无(N)
- 脆弱系统影响(VC/VI/VA): 高(H)/高(H)/高(H)
- 后续系统影响(SC/SI/SA): 无(N)/无(N)/无(N)
- 漏洞利用成熟度(E): 未报告(U)
EPSS 评分
该漏洞在未来30天内被利用的概率估计为 0.297%(第53百分位)。
致谢
该漏洞由 RajChowdhury240(发现者)和 rlarabee(报告者)发现并报告。