发布日期：2023-12-01

更新日期：2023-12-11

受影响系统：

October CMS >= 3.0.0

October CMS < 3.4.15

描述：

CVE(CAN) ID: CVE-2023-44381

October是October开源的一个内容管理系统 (CMS) 和网络平台。

October 3.0.0至3.4.15之前版本存在代码注入漏洞，该漏洞源于在启用了“cms.safe_mode”的情况下，具有“editor.cms_pages”、“editor.cms_layouts”或“editor.cms_partials”权限的人可以制定特殊请求以在CMS模板中包含PHP代码，攻击者可利用该漏洞来获取信息、提权、或者非法访问某系统。

< *链接：https://github.com/octobercms/october/security/advisories/GHSA-q22j-5r3g-9hmh

*>

建议：

厂商补丁：

October

-------

October已经为此发布了一个安全公告（CVE-2023-44381）以及相应补丁:

CVE-2023-44381：Safe mode bypass using Page template injection

链接：https://github.com/octobercms/october/security/advisories/GHSA-q22j-5r3g-9hmh

浏览次数：124

严重程度：0（网友投票）