Craft CMS w wersjach od 3.0.0-RC1 do 5.6.17 zawiera krytyczną podatność umożliwiającą zdalne wykonanie kodu (RCE) bez jakiegokolwiek uwierzytelnienia. Podatność jest aktywnie wykorzystywana w środowiskach produkcyjnych i uzyskała maksymalną ocenę CVSS 10.0.
▸ Pokaż oryginał (EN)
Craft is a flexible, user-friendly CMS for creating custom digital experiences on the web and beyond. Starting from version 3.0.0-RC1 to before 3.9.15, 4.0.0-RC1 to before 4.14.15, and 5.0.0-RC1 to before 5.6.17, Craft is vulnerable to remote code execution. This is a high-impact, low-complexity attack vector. This issue has been patched in versions 3.9.15, 4.14.15, and 5.6.17, and is an additional fix for CVE-2023-41892.
Podatność sklasyfikowana jako CWE-94 (code injection) pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie dowolnego kodu na serwerze hostującym Craft CMS. Atak charakteryzuje się niską złożonością i nie wymaga żadnej interakcji ze strony użytkownika ani posiadania konta w systemie. Jest to dodatkowa poprawka do wcześniej zgłoszonej podatności CVE-2023-41892, co wskazuje na niepełne usunięcie pierwotnego wektora ataku.
Atakujący może zdalnie wykonać dowolny kod na serwerze, co w praktyce oznacza pełne przejęcie kontroli nad aplikacją i potencjalnie całym systemem, kradzież danych, instalację backdoorów lub dalszy lateral movement w sieci.
Należy niezwłocznie zaktualizować Craft CMS do wersji 3.9.15, 4.14.15 lub 5.6.17 (wydanych 2025-04-10). Ze względu na aktywną eksploatację w środowiskach produkcyjnych aktualizacja powinna być traktowana jako pilna i przeprowadzona natychmiast.
Craft CMS w wersjach: 3.0.0-RC1 do przed 3.9.15, 4.0.0-RC1 do przed 4.14.15 oraz 5.0.0-RC1 do przed 5.6.17
Podatność stanowi dodatkową (niekompletnie załataną wcześniej) poprawkę dla CVE-2023-41892. Poprawki zostały wydane 2025-04-10 i oznaczone jako CRITICAL w oficjalnych changelogach producenta. CISA potwierdziła aktywną eksploatację.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:LCraftcms Craft Cms
APPCraftcms3.0.0 – 3.9.15 (bez)4.0.0 – 4.14.15 (bez)5.0.0 – 5.6.17 (bez)
CISA KEV — szczegółyi
- Dostawcai
- Craft CMS
- Produkti
- Craft CMS
- Data dodania do KEVi
- 20 marca 2026
- Termin remediation (USA)i
- 3 kwietnia 2026(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań użytkowania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
Craft CMS zawiera lukę typu code injection, która umożliwia zdalnemu atakującemu wykonanie dowolnego kodu.
▸ Pokaż oryginał (EN)
Craft CMS contains a code injection vulnerability that allows a remote attacker to execute arbitrary code.
Powiązane podatności
RCE w Craft CMS przez nieprawidłową konfigurację register_argc_argv
Craft CMS: RCE przez SSTI w polach szablonów Twig
Craft CMS: obejście bloklisty PHP w silniku Twig umożliwia RCE
SQL injection w Craft CMS przez endpoint GraphQL API
Craft CMS is a platform for creating digital experiences. This is a high-impact, low-complexity attack vector....