Craft is a platform for creating digital experiences. Versions 5.0.0-RC1 through 5.8.20 and 4.0.0-RC1 through 4.16.16 are vulnerable to potential authenticated Remote Code Execution via malicious attached Behavior. Note that attackers must have administrator access to the Craft Control Panel for this to work. Users should update to the patched versions (5.8.21 and 4.16.17) to mitigate the issue.
Craft CMS versions 5.0.0-RC1 through 5.8.20 and 4.0.0-RC1 through 4.16.16 are vulnerable to authenticated Remote Code Execution through malicious Behavior attachments, requiring administrator access. Organizations must update to versions 5.8.21 or 4.16.17 to remediate this vulnerability.
تؤثر هذه الثغرة على منصة Craft CMS وتسمح بتنفيذ أكواد بعيدة من قبل المسؤولين الذين لديهم وصول إلى لوحة التحكم. يمكن للمهاجمين الذين يحصلون على بيانات اعتماد المسؤول استخدام السلوكيات المرفقة الضارة لتنفيذ أكواد تعسفية على الخادم. تتطلب هذه الثغرة مستوى وصول عالي لكن تشكل خطراً كبيراً على سلامة النظام.
منصة Craft CMS الإصدارات من 5.0.0-RC1 إلى 5.8.20 و4.0.0-RC1 إلى 4.16.16 عرضة لتنفيذ أكواد بعيدة مصرح به من خلال سلوكيات ضارة مرفقة. يجب على المنظمات التحديث إلى الإصدارات 5.8.21 أو 4.16.17 للتخفيف من هذا الثغرة.
Immediately update Craft CMS to version 5.8.21 or 4.16.17. Restrict administrator access to trusted personnel only. Implement principle of least privilege for Control Panel access. Monitor administrator activities and audit logs for suspicious behavior attachments. Review and validate all existing Behavior attachments in your Craft installations.
قم بتحديث Craft CMS فوراً إلى الإصدار 5.8.21 أو 4.16.17. قيد الوصول الإداري للموظفين الموثوقين فقط. طبق مبدأ الامتيازات الأقل للوصول إلى لوحة التحكم. راقب أنشطة المسؤولين وسجلات التدقيق للسلوكيات المرفقة المريبة. راجع والتحقق من جميع السلوكيات المرفقة الموجودة في تثبيتات Craft الخاصة بك.