Craft CMS 模板注入导致 Rce漏洞复现(CVE-2024-56145)(附脚本)

0x01 产品描述：

        ‌Craft CMS‌ 是一个灵活且强大的内容管理系统（CMS），专为创意团队和开发人员设计，提供高度可定制、直观且性能优越的网站和内容管理解决方案。它以用户友好的界面、强大的插件生态系统以及支持现代web开发最佳实践的特性而闻名‌
0x02 漏洞描述：

        由于模板路径的输入验证缺失，导致未授权用户可以注入恶意路径并加载执行任意代码。攻击者利用 Craft CMS 的模板加载机制，通过伪造路径将恶意代码注入到系统的模板解析器中。一旦注入成功，攻击者即可通过反弹 Shell 或其他方式在目标服务器上执行任意代码，达到完全控制