Craft CMS vulnerável a RCE por injeção de comportamento via EntryTypesController

A correção para GHSA-7jx7-3846-m7w7 (commit 395c64f0b80b507be1c862a2ec942eaacb353748) apenas corrigiu `src/services/Fields.php`, mas o mesmo padrão vulnerável existe em `EntryTypesController::actionApplyOverrideSettings()`. Em `src/controllers/EntryTypesController.php` linhas 381-387: ```php $settingsStr = $this->request->getBodyParam('settings'); parse_str($settingsStr, $postedSettings); $settingsNamespace = $this->request->getRequiredBodyParam('settingsNamespace'); $settings = array_filter(ArrayHelper::getValue($postedSettings, $settingsNamespace, [])); if (!empty($settings)) { Craft::configure($entryType, $settings); ``` O array `$settings` de `parse_str` é passado diretamente para `Craft::configure()` sem `Component::cleanseConfig()`. Isso permite injetar manipuladores de comportamento/evento Yii2 via chaves prefixadas com `as ` ou `on `, o mesmo vetor de ataque do aviso original. Você precisa de permissões de administrador do painel de controle do Craft, e `allowAdminChanges` deve estar habilitado para que isso funcione. Um atacante pode usar a mesma cadeia de gadgets do aviso original para obter RCE (Remote Code Execution). Os usuários devem atualizar para Craft 5.9.11 para mitigar o problema.