漏洞关键信息 漏洞标题 Remote Code Execution 漏洞ID GHSA-4w8r-3xrw-v25g 发布时间 2023年9月13日 漏洞严重性 CVSS v3严重性:10.0 / 10 影响范围 受影响的版本:>= 4.0.0-RC1 <= 4.4.14 已修复的版本:4.4.15 漏洞描述 这是一个高影响、低复杂度的攻击向量。运行CraftCMS版本在4.4.15之前的用户应升级到至少该版本以避免此问题。 影响 用户应升级到CraftCMS 4.4.15或更高版本。 如安全密钥已被捕获,应刷新安全密钥。 如果环境中存储了其他私钥(如S3或Stripe的密钥),也应一并刷新。 出于谨慎,可能需要重置所有用户的密码,以防数据库被攻破。 建议措施 确保你运行的是CraftCMS 4.4.15或以上版本。 使用 刷新安全密钥并复制更新后的 环境变量到所有生产环境。 刷新其他环境中存储的私钥,如S3或Stripe。 如果数据库被攻破,使用 重置所有用户的密码。 引用 https://github.com/craftcms/cms/blob/develop/CHANGELOG.md#4415---2023-07-03-critical (更新链接) (更新链接) (更新链接) CVE编号 CVE-2023-41892