CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-45697

Critical
Published: Translated: NVD NIST

Summary

Formie to wtyczka Craft CMS służąca do tworzenia formularzy. W wersjach przed 2.2.20 i 3.1.24, nieautoryzowani użytkownicy mogli przesyłać spreparowane wartości do ukrytych pól, które były oceniane jako Twig podczas obsługi przesyłania, co mogło prowadzić do poważnego kompromitowania witryny Craft.

Risk Assessment

Podatność ta może umożliwić atakującym wprowadzenie złośliwego kodu, co może skutkować naruszeniem bezpieczeństwa całej witryny. W zależności od zachowania szablonów, skutki mogą być poważne.

Recommendation

Zaleca się aktualizację wtyczki Formie do wersji 2.2.20 lub 3.1.24, aby usunąć tę podatność i zabezpieczyć witrynę przed potencjalnymi atakami.

Original NVD description (English source)

Formie is a Craft CMS plugin for creating forms. Prior to 2.2.20 and 3.1.24, unauthenticated users could submit crafted values into Hidden fields (with Default value → Custom) that were evaluated as Twig during submission handling, which could lead to serious compromise of the Craft site (depending on template/sandbox behavior). This vulnerability is fixed in 2.2.20 and 3.1.24.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS