Katalog CVE

CVE-2026-45714

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W CubeCart przed wersją 6.7.0 występuje podatność na wstrzykiwanie szablonów po stronie serwera (SSTI) w wielu modułach, takich jak szablony e-mail, faktury, dokumenty i formularze kontaktowe. Aplikacja niebezpiecznie ocenia dane wejściowe dostarczone przez użytkowników, co pozwala na wykonanie dowolnych poleceń systemowych przez uwierzytelnionych użytkowników z uprawnieniami administracyjnymi.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla bezpieczeństwa serwera, umożliwiając atakującym z dostępem administracyjnym wykonanie dowolnych poleceń systemowych, co może prowadzić do przejęcia kontroli nad systemem.

Rekomendacja

Zaleca się aktualizację CubeCart do wersji 6.7.0 lub nowszej, aby usunąć tę podatność oraz wdrożenie polityk bezpieczeństwa Smarty w celu zabezpieczenia przetwarzania danych wejściowych.

Oryginalny opis (angielski, źródło NVD)

CubeCart is an ecommerce software solution. Prior to 6.7.0, an Authenticated Server-Side Template Injection (SSTI) vulnerability exists in multiple modules of CubeCart (including Email Templates, Invoices, Documents, and Contact Forms). The application unsafely evaluates user-supplied input using the Smarty template engine without enabling Smarty Security Policies. This allows any authenticated user with administrative privileges to execute arbitrary operating system commands (RCE) on the server. This vulnerability is fixed in 6.7.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS