CVE-2025-68454: Craft CMS Twig SSTI远程代码执行漏洞

披露日期: 2026-01-05

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-68454

漏洞类型

远程代码执行

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Craft CMS

漏洞概述

Craft CMS 5.0.0-RC1至5.8.20和4.0.0-RC1至4.16.16版本存在服务器端模板注入(SSTI)漏洞，可导致认证用户实现远程代码执行。

技术细节

攻击者通过在Craft控制面板的文本字段或System Messages工具中注入恶意Twig payload，利用map filter执行任意代码。

攻击链分析

STEP 1

步骤1

攻击者获得管理员权限或访问System Messages工具

STEP 2

步骤2

在文本字段中注入恶意Twig payload

STEP 3

步骤3

触发代码执行

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

{% for i in range(1, 10) %}{{ i }}{% endfor %}

影响范围

5.0.0-RC1 - 5.8.20

4.0.0-RC1 - 4.16.16

防御指南

临时缓解措施

立即升级到修复版本

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表