Craft CMS 模板注入导致 Rce漏洞复现(CVE-2024-56145)(附脚本)

最新推荐文章于 2025-05-06 23:18:48 发布
最新推荐文章于 2025-05-06 23:18:48 发布
阅读量582 收藏
点赞数 5
分类专栏: 漏洞复现 文章标签: 安全 web安全 cms
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xc_214/article/details/144672928
版权

0x01 产品描述:

        ‌Craft CMS‌ 是一个灵活且强大的内容管理系统(CMS),专为创意团队和开发人员设计,提供高度可定制、直观且性能优越的网站和内容管理解决方案。它以用户友好的界面、强大的插件生态系统以及支持现代web开发最佳实践的特性而闻名‌
0x02 漏洞描述:

        由于模板路径的输入验证缺失,导致未授权用户可以注入恶意路径并加载执行任意代码。攻击者利用 Craft CMS 的模板加载机制,通过伪造路径将恶意代码注入到系统的模板解析器中。一旦注入成功,攻击者即可通过反弹 Shell 或其他方式在目标服务器上执行任意代码,达到完全控制

了解本专栏 订阅专栏 解锁全文 超级会员免费看
(0day)CraftCms 代码注入漏洞复现CVE-2025-32432)(脚本
iSee857的博客
04-27 577
攻击者可构造恶意请求利用generate-transform端点触发反序列化,执行任意代码控制服务器,未经身份验证的攻击者可以通过该漏洞在目标服务器上注入恶意代码,最终获取服务器权限。(CVE-2025-32432)
Craft CMS 远程代码执行漏洞(含批量验证poc)
weixin_43567873的博客
04-18 388
Craft CMS 远程代码执行漏洞(含批量验证poc)
【新day】CVE-2024-56145Craft CMS 模板注入导致 RCE
ffr666的博客
12-21 1968
绪论如果各位师傅觉得有用的话,可以给我点个关注~~ 如果师傅们有什么好的建议也欢迎联系我~~ 感谢各位师傅的支持~~正文部分漏洞详情Craft 是一种灵活、用户友好的 CMS,用于在 Web 及其他方面创建自定义数字体验。如果受影响版本的用户php.ini配置启用了“register_argc_argv”,则其用户会受到此漏洞的影响。对于这些用户,存在未指定的远程代码执行向量。建议用户更新到版本 ...
Craft CMS 优秀资源教程
gitblog_00239的博客
04-10 742
Craft CMS 优秀资源教程 awesome A collection of awesome Craft CMS plugins, articles, resources and shiny things. 项目地址: htt...
Craft CMS 模板注入导致 Rce漏洞复现(CVE-2024-56145)
ZeroDay001的博客
12-24 504
Craft CMS 模板注入导致 Rce漏洞复现(CVE-2024-56145)这是一个集内容管理与发布于一体的智能平台,广泛服务于新闻媒体及内容创作行业。平台支持多端协同和多渠道分发,拥有素材管理、内容编辑、智能审核等核心功能,并通过技术辅助创作与数据分析,显著提升内容生产效率与传播质量。从内容采集到发布实现全流程覆盖,优化工作流程,提高传播的精准度和时效性,帮助用户在数字化内容生态中实现高效协作与影响力扩展。
漏洞复现-Craft CMS 远程代码执行漏洞 (CVE-2023-41892)
玄道的网安博客
08-12 553
在 4.4.15 之前的版本中,存在一个远程代码执行漏洞Craft CMS 是一个用于创建数字体验的平台,这是一个高影响、低复杂性的攻击向量。受影响的 Craft CMS 版本存在代码注入漏洞,该漏洞源于远程代码执行漏洞。为了缓解此问题,建议运行 4.4.15 之前版本的用户至少更新到 4.4.15 版本。漏洞严重性CVSS 3.x 严重性和指标:NIST: NVD向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H。将as和on特殊字符过滤了。
Goby 漏洞安全通告| Craft CMS /index.php 代码执行漏洞CVE-2025-32432)
m0_46699477的博客
04-27 409
CVE-2025-32432:Craft CMS从 3.0.0-RC1 版本到 3.9.15 之前的版本、4.0.0-RC1 版本到 4.14.15 之前的版本以及 5.0.0-RC1 版本到 5.6.17 之前的版本都存在远程代码执行漏洞,攻击者可通过特定的POST请求在未经身份验证的情况下执行任意代码,获取服务器权限。
CVE-2024-56145Craft CMS 漏洞利用工具
weixin_47075747的博客
12-22 385
链接: https://pan.baidu.com/s/1hDqnQqypkTZbEvmp7fhmwg?pwd=8vg9 提取码: 8vg9。
Craft CMS generate-transform接口存在远程命令执行漏洞CVE-2025-32432 POC
最新发布
nnn2188185的博客
05-06 146
微信公众号搜索:南风漏洞复现文库该文章 南风漏洞复现文库 公众号首发Craft CMS
CVE-2024-56145】PHP 漏洞导致 Craft CMS 出现 RCE
weixin_47075747的博客
12-22 571
大多数开发人员都同意,与 15 年前相比,PHP 是一种更加理智、更加安全和可靠的语言。PHP5早期的已让位于更好的开发生态系统,其中包括类、自动加载、更严格的类型、更理智的语法以及一大堆其他改进。安全性也没有被忽视。一些老读者可能还记得和的黑暗岁月,幸运的是,这些日子已经过去了。在现代,许多剩余的安全漏洞也已得到修复或缓解;你再也无法通过简单的 获得 RCE,我们不再有,并且诸如和 之'abc' == 0类的危险结构已从语言中删除。
漏洞复现craft cms 远程代码执行漏洞CVE-2023-41892
rm -rf *
10-18 2311
Pixel&tonic Craft CMS 4.4.15之前版本存在代码注入漏洞,该漏洞源于存在远程代码执行漏洞
CraftCMS样板:带有Gulp的CraftCMS样板(即将更新)
02-26
CraftCMS样板 由于P&T给出的某些原因,/ craft / app文件夹已被删除,请确保是否克隆此存储库以从基本手Craft.io品下载中替换该文件夹 安装 首先创建本地数据库 在/ craft / config / local /中创建db.php和general.php文件 db.php // Local database info return array ( 'server' => 'localhost' , 'user' => 'username' , 'password' => 'password' , 'database' => 'local-db-name' ); general. php /* * Local Config Override
CraftCMS高效和灵活的多环境配置
08-08
Craft CMS高效和灵活的多环境配置
olivemenus:一款功能强大的Craft CMS菜单插件,旨在满足简单性和灵活性的需求
05-26
适用于Craft CMS 3.x的Olivemenus插件 橄榄工作室 要求 该插件需要Craft CMS 3.0.0-RC11或更高版本。 安装 要安装插件,请按照以下说明进行操作。 打开您的终端并转到Craft项目: cd /path/to/project 然后告诉Composer加载插件: composer require olivestudio/craft-olivemenus 在控制面板中,转到设置→插件,然后单击Olivemenus的“安装”按钮。 概述 Olivemenus是一个易于使用的Craft CMS插件,可让您从头开始构建自定义菜单。 您只需选择单个条目,通道或结构项,甚至是自定义链接,即可在几秒钟内创建一个新菜单。 然后,您需要做的就是添加一个Twig代码片段,将菜单嵌入模板中,就像显示菜单一样神奇! 您可以在网站上创建和管理多个菜单; Olivemen
craft-deploy:一个bash脚本,用于在生产服务器上部署Craft CMS
02-05
Craft CMS部署 用于在生产服务器上运行的零停机Craft CMS部署的bash脚本。 受到Capistrano常规的启发。 该脚本仍处于测试阶段! 请非常小心地使用它! 用法 将文件复制到服务器上的项目文件夹中。 运行chmod +x deploy.sh setup.sh来设置执行权限。 运行./setup.sh创建初始文件夹和文件。 将.env上传到shared/ 。 将storage文件夹上传到shared/ 。 将web/.htaccess上传到shared/web/ 。 将web/cpresources文件夹上载到shared/web/ 。 将您的[ASSETS_
允许通过Craft CMS使用Vite.js下一代前端工具-PHP开发
05-27
允许将Craft CMS 3.x的Craft CMS Vite插件与Vite.js下一代前端工具一起使用允许Craft CMS 3.x的Craft CMS Vite.js下一代前端工具使用。 CMS大多数魔术实际上都在nystudio107 / craft-plugin-vite软件包中,因此Craft CMS插件也可以使用它。 要求此插件需要Craft CMS 3.0.0或更高版本。 安装通过composer使用Composer安装需要在项目目录中使用nystudio107 / craft-vite通过php craft安装插件
[漏洞复现] Craft (CVE-2023-41892)
k5664524的博客
01-17 737
Craft CMS是美国Pixel&tonic公司的一套内容管理系统(CMS)。一个开源的内容管理系统,它专注于用户友好的内容创建过程,逻辑清晰明了,是一个高度自由,高度自定义设计的平台吗,可以用来创建个人或企业网站也可以搭建企业级电子商务系统。Pixel&tonic Craft CMS 4.4.15之前版本存在代码注入漏洞,该漏洞源于存在远程代码执行漏洞Craft CMS 是一个用于创建数字体验的平台。这是一种高影响力、低复杂性的攻击媒介。
Craft CMS:强大的开源内容管理系统
gitblog_00434的博客
12-25 445
Craft CMS:强大的开源内容管理系统 craft Composer starter project for Craft CMS. 项目地址: https://gitcode.com/gh_mirrors/craf/craft...
探索优雅的内容管理系统:Craft CMS
gitblog_00078的博客
05-11 554
探索优雅的内容管理系统:Craft CMS cms Build bespoke content experiences with Craft. 项目地址: https://gitcode.com/gh_mirrors/cms1/cms ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

iSee857

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值