关键信息 漏洞名称 Privilege Escalation and Authenticated Remote Code Execution via Twig Injection 严重性 High CVE ID CVE-2025-66297 受影响版本 处理:Twig: true)。 - 将以下payload注入页面内容以提升权限: - 访问编辑/创建的页面URL。登录用户现在是管理员。(注意:为了显示更改,您需要登出管理面板并重新登录)。 远程代码执行: - 登录到管理面板,创建或编辑页面,并将Twig处理设置为true(高级 -> 处理:Twig: true)。 - 将以下payload注入页面内容以执行命令: - 访问页面以触发执行。系统将发出 请求。 影响 此漏洞允许从任何具有页面编辑功能的用户提升到全管理员(超级)访问权限。 远程代码执行,因为攻击者可以通过调度器API运行系统任意命令。 影响任何Grav CMS安装,其中允许具有较低权限的用户创建或编辑页面,并且全局未禁用Twig处理。