Katalog CVE

CVE-2026-56700

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
1.68%

Percentyl 74 — wyżej niż 74% wszystkich znanych CVE

Streszczenie

Grav CMS przed wersją 2.0.0-beta.2 zawiera wiele podatności umożliwiających wykonanie kodu. Trzy niebezpieczne wywołania unserialize() w komponentach Scheduler\JobQueue, Framework\Cache\Adapter\FileCache oraz Session deserializują niezaufane dane bez ograniczeń klas, co pozwala na wstrzyknięcie obiektów PHP i, poprzez łańcuch gadżetów, na zdalne wykonanie kodu. Dodatkowo, polecenie git clone w InstallCommand nie zabezpiecza parametrów branch, url i path, co umożliwia wstrzyknięcie poleceń systemowych podczas instalacji wtyczek/motywów (wymaga dostępu administratora). Występuje również obejście bloklisty Twig (wstrzyknięcie szablonów po stronie serwera).

Ocena ryzyka

Atakujący z uprawnieniami administratora może uzyskać pełną kontrolę nad serwerem poprzez wstrzyknięcie poleceń systemowych lub zdalne wykonanie kodu, co prowadzi do naruszenia poufności, integralności i dostępności danych.

Rekomendacja

Niezwłocznie zaktualizuj Grav CMS do wersji 2.0.0-beta.2 lub nowszej. Ogranicz dostęp administracyjny tylko do zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

Grav CMS before 2.0.0-beta.2 contains multiple code-execution vulnerabilities. Three unsafe unserialize() calls - in Scheduler\JobQueue, Framework\Cache\Adapter\FileCache, and Session - deserialize untrusted data without restricting allowed classes, enabling PHP object injection and, via a gadget chain, arbitrary code execution where an attacker controls the serialized input. Additionally, InstallCommand's git clone operation passes the branch, url, and path parameters into a shell command without escaping, allowing OS command injection via plugin/theme installation (which requires admin access). A Twig security blocklist bypass (server-side template injection) is also present. The issues are fixed in 2.0.0-beta.2.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS