Katalog CVE

CVE-2026-45697

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Formie to wtyczka Craft CMS służąca do tworzenia formularzy. W wersjach przed 2.2.20 i 3.1.24, nieautoryzowani użytkownicy mogli przesyłać spreparowane wartości do ukrytych pól, które były oceniane jako Twig podczas obsługi przesyłania, co mogło prowadzić do poważnego kompromitowania witryny Craft.

Ocena ryzyka

Podatność ta może umożliwić atakującym wprowadzenie złośliwego kodu, co może skutkować naruszeniem bezpieczeństwa całej witryny. W zależności od zachowania szablonów, skutki mogą być poważne.

Rekomendacja

Zaleca się aktualizację wtyczki Formie do wersji 2.2.20 lub 3.1.24, aby usunąć tę podatność i zabezpieczyć witrynę przed potencjalnymi atakami.

Oryginalny opis (angielski, źródło NVD)

Formie is a Craft CMS plugin for creating forms. Prior to 2.2.20 and 3.1.24, unauthenticated users could submit crafted values into Hidden fields (with Default value → Custom) that were evaluated as Twig during submission handling, which could lead to serious compromise of the Craft site (depending on template/sandbox behavior). This vulnerability is fixed in 2.2.20 and 3.1.24.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS