漏洞信息 漏洞概述 标题: Remote code execution via Antlers-enabled control panel inputs 严重性: High (8.0 / 10) CVE ID: CVE-2026-28425 CVSS v3 基本指标 - 攻击向量: Network - 攻击复杂度: Low - 所需权限: Low - 用户交互: Required - 作用范围: Unchanged - 机密性: High - 完整性: High - 可用性: High 影响 描述: 一个具有访问 Antlers 启用输入的认证控制面板用户可能能够在应用程序上下文中实现远程代码执行。这可能会导致应用程序的完全被攻破,包括访问敏感配置、数据修改或数据泄露以及潜在的可用性影响。 利用条件: 只有在 Antlers 在用户控制的内容上运行时才能利用这一漏洞,例如,显式启用 Antlers 的内容字段(需要配置字段和编辑条目的权限),支持 Antlers 的内置配置(如一览表电子邮件通知设置,需要配置权限),或添加 Antlers 启用字段到条目的第三方插件(例如 SEO Pro 插件)。每种情况下,攻击者必须具有相关的控制面板权限。 修复补丁 受影响版本: <5.73.11, <6.4.0 修复版本: 5.73.11, 6.4.0 建议: 本漏洞已在版本 5.73.11 和 6.4.0 中修复。如果你使用依赖 Statamic 的插件,确保在更新后运行一个已修复的 Statamic 版本。 弱点 CWE: 94 致谢 贡献者: Neosprings (Analyst)