CRITICAL🇬🇧 English

CVE-2026-28697

Craft CMS: RCE przez SSTI w polach szablonów Twig

CVSS 9.4v4.0pub. 2026-03-04upd. 2026-03-05

Uwierzytelniony administrator Craft CMS może wykonać dowolny kod na serwerze (RCE) poprzez wstrzyknięcie złośliwego payload SSTI w pola szablonów Twig, takie jak Email Templates. Podatność jest krytyczna, ponieważ pozwala na pełne przejęcie kontroli nad systemem — zarówno samą aplikacją, jak i środowiskiem serwera.

Pokaż oryginał (EN)

Craft is a content management system (CMS). Prior to 4.17.0-beta.1 and 5.9.0-beta.1, an authenticated administrator can achieve Remote Code Execution (RCE) by injecting a Server-Side Template Injection (SSTI) payload into Twig template fields (e.g., Email Templates). By calling the craft.app.fs.write() method, an attacker can write a malicious PHP script to a web-accessible directory and subsequently access it via the browser to execute arbitrary system commands. This vulnerability is fixed in 4.17.0-beta.1 and 5.9.0-beta.1.

🤖 Analiza AI
Jak działa

Atakujący z uprawnieniami administratora wstrzykuje payload Server-Side Template Injection (SSTI) do pól obsługujących szablony Twig (np. Email Templates). Następnie wykorzystuje metodę craft.app.fs.write(), aby zapisać złośliwy skrypt PHP w katalogu dostępnym przez przeglądarkę. Po zapisaniu pliku atakujący wywołuje go bezpośrednio przez HTTP, co skutkuje wykonaniem dowolnych poleceń systemowych na serwerze.

Skutki

Atakujący może wykonać dowolne polecenia systemowe na serwerze, zapisywać pliki w dostępnych katalogach webowych oraz potencjalnie przejąć pełną kontrolę nad systemem operacyjnym i danymi aplikacji.

Mitygacja

Należy zaktualizować Craft CMS do wersji 4.17.0-beta.1 lub nowszej (gałąź 4.x) albo do wersji 5.9.0-beta.1 lub nowszej (gałąź 5.x). Szczegóły patcha dostępne są w repozytorium producenta na GitHub (pull requesty #18216 i #18219 oraz advisory GHSA-v47q-jxvr-p68x).

Kogo dotyczy

Craft CMS w wersjach wcześniejszych niż 4.17.0-beta.1 (gałąź 4.x) oraz wcześniejszych niż 5.9.0-beta.1 (gałąź 5.x)

Uwagi

Podatność wymaga posiadania uprawnień administratora w aplikacji, co ogranicza powierzchnię ataku — jednak w środowiskach z wieloma administratorami lub przy przejęciu konta administracyjnego ryzyko jest znaczące. Wektor CVSS 4.0 uwzględnia wysoki wpływ na systemy powiązane (SC:H/SI:H/SA:H).

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Craftcms Craft Cms

    APP
    Craftcms
    4.0.05.0.0< 4.17.0< 5.9.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2025-32432CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Krytyczny RCE w Craft CMS — zdalne wykonanie kodu bez uwierzytelnienia

CVE-2024-56145CRITICAL9.3⚠ KEVPL ✓ten sam produkt

RCE w Craft CMS przez nieprawidłową konfigurację register_argc_argv

CVE-2026-28783CRITICAL9.4PL ✓ten sam produkt

Craft CMS: obejście bloklisty PHP w silniku Twig umożliwia RCE

CVE-2024-37843CRITICAL9.8PL ✓ten sam produkt

SQL injection w Craft CMS przez endpoint GraphQL API

CVE-2023-41892CRITICAL10.0ten sam produkt

Craft CMS is a platform for creating digital experiences. This is a high-impact, low-complexity attack vector....