php · craftcms/cmsCrítico
Craft CMS: SSRF e Injeção Arbitrária de JavaScript via /actions/app/resource-js
Craft CMS é vulnerável a SSRF e Injeção Arbitrária de JavaScript no endpoint /actions/app/resource-js devido à configuração padrão permissiva de trustedHosts e
O que mudou
Craft CMS é vulnerável a SSRF e Injeção Arbitrária de JavaScript no endpoint /actions/app/resource-js devido à configuração padrão permissiva de trustedHosts e comportamento inseguro do cliente HTTP.
Quem isso afeta
Todas as instalações do Craft CMS com configuração padrão de trustedHosts (['any']) e assetManager.cacheSourcePaths definido como false, especialmente atrás de uma camada de cache.
O que fazer hoje
Atualize a configuração trustedHosts para restringir hosts permitidos e defina assetManager.cacheSourcePaths como true. Como alternativa, aplique o patch do fornecedor se disponível.
A esteira
Coletado→
Auditado→
Redigido→
Publicado