Craft CMS存在潜在的身份验证后远程代码执行漏洞(Twig SSTI)· CVE-2025-68454
漏洞详情
受影响的软件包:composer 上的 craftcms/cms
受影响的版本:
>= 5.0.0-RC1, <= 5.8.20>= 4.0.0-RC1, <= 4.16.16
已修复版本:
5.8.214.16.17
漏洞描述
要使此漏洞生效,用户必须拥有Craft控制面板的管理员权限,并且allowAdminChanges配置项需要被启用。然而,根据Craft CMS的建议,在任何非开发环境中都应将其设置为false以增强安全性(相关安全指南)。
另外,即使allowAdminChanges被禁用,非管理员账户如果能够访问系统消息工具,也可能利用此漏洞。
攻击者可以在Craft控制面板的设置中接受Twig输入的文本字段,或者利用系统消息工具,通过Twig的map过滤器构造恶意负载,这可能导致远程代码执行。
建议用户更新到已修复的版本(5.8.21 和 4.16.17)来缓解此问题。
参考信息
- 代码修复提交: craftcms/cms@d82680f
- 变更日志: 5.x/CHANGELOG.md#5821—2025-12-04
- GitHub安全通告: GHSA-742x-x762-7383
- NVD条目: CVE-2025-68454
漏洞严重性与指标
严重等级:中等 CVSS综合评分:5.2 / 10
CVSS v4 基础指标
可利用性指标:
- 攻击途径:网络
- 攻击复杂性:低
- 攻击前提条件:存在
- 所需权限:低
- 用户交互:无
受影响系统影响指标:
- 机密性影响:高
- 完整性影响:高
- 可用性影响:高
后续系统影响指标:
- 机密性影响:无
- 完整性影响:无
- 可用性影响:无
完整向量字符串:CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:U
EPSS(漏洞利用预测评分系统)得分
- 得分:0.297%(第53百分位)
- 此分数估计了该漏洞在未来30天内被利用的概率。
相关弱点
CWE-1336:模板引擎中特殊元素中和不当 该产品使用模板引擎插入或处理受外部影响的输入,但在引擎处理时,未能中和或错误地中和了可被解释为模板表达式或其他代码指令的特殊元素或语法。
标识符
- CVE ID: CVE-2025-68454
- GHSA ID: GHSA-742x-x762-7383
致谢
- 发现者: RajChowdhury240
- 报告者: rlarabee