Craft CMS vulnerable a la inyección de comportamiento RCE a través de EntryTypesController

La corrección para GHSA-7jx7-3846-m7w7 (commit 395c64f0b80b507be1c862a2ec942eaacb353748) solo parcheó `src/services/Fields.php`, pero el mismo patrón vulnerable existe en `EntryTypesController::actionApplyOverrideSettings()`. En `src/controllers/EntryTypesController.php` líneas 381-387: ```php $settingsStr = $this->request->getBodyParam('settings'); parse_str($settingsStr, $postedSettings); $settingsNamespace = $this->request->getRequiredBodyParam('settingsNamespace'); $settings = array_filter(ArrayHelper::getValue($postedSettings, $settingsNamespace, [])); if (!empty($settings)) { Craft::configure($entryType, $settings); ``` El array `$settings` de `parse_str` se pasa directamente a `Craft::configure()` sin `Component::cleanseConfig()`. Esto permite inyectar manejadores de comportamiento/eventos de Yii2 a través de claves con prefijo `as ` o `on `, el mismo vector de ataque que el aviso original. Necesita permisos de administrador del panel de control de Craft, y `allowAdminChanges` debe estar habilitado para que esto funcione. Un atacante puede usar la misma cadena de *gadgets* del aviso original para lograr RCE. Los usuarios deben actualizar a Craft 5.9.11 para mitigar el problema.