发布日期：2020-05-11
更新日期：2020-07-29

受影响系统：

Pixel＆Tonic Craft CMS Seomatic < 3.2.49

描述：

---

CVE(CAN) ID: CVE-2020-12790

Pixel & Tonic Craft CMS是美国Pixel＆Tonic公司的一套内容管理系统（CMS）。Seomatic是其中的一个SEO（搜索引擎优化）组件。Seomatic 3.2.49之前版本（用于Craft CMS）中存在注入漏洞。该漏洞源于helpers/ dynamicmetag .php未合理验证URL。攻击者可利用该漏洞在分号后面注入特制的Twig模板导致服务器端模板注入和凭证泄露。

<**>

建议：

---

厂商补丁：

Pixel＆Tonic
------------
目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://github.com/nystudio107/craft-seomatic/commit/82f4a25b28fd622393da6592dc9e5ccee7fc5be3#diff-52fd042c50432133a00a8f840f4a6165

浏览次数：1031
严重程度：0（网友投票）