CVE-2026-45697
KrytyczneStreszczenie
Formie to wtyczka Craft CMS służąca do tworzenia formularzy. W wersjach przed 2.2.20 i 3.1.24, nieautoryzowani użytkownicy mogli przesyłać spreparowane wartości do ukrytych pól, które były oceniane jako Twig podczas obsługi przesyłania, co mogło prowadzić do poważnego kompromitowania witryny Craft.
Ocena ryzyka
Podatność ta może umożliwić atakującym wprowadzenie złośliwego kodu, co może skutkować naruszeniem bezpieczeństwa całej witryny. W zależności od zachowania szablonów, skutki mogą być poważne.
Rekomendacja
Zaleca się aktualizację wtyczki Formie do wersji 2.2.20 lub 3.1.24, aby usunąć tę podatność i zabezpieczyć witrynę przed potencjalnymi atakami.
Oryginalny opis (angielski, źródło NVD)
Formie is a Craft CMS plugin for creating forms. Prior to 2.2.20 and 3.1.24, unauthenticated users could submit crafted values into Hidden fields (with Default value → Custom) that were evaluated as Twig during submission handling, which could lead to serious compromise of the Craft site (depending on template/sandbox behavior). This vulnerability is fixed in 2.2.20 and 3.1.24.

