CVE-2026-28783 Craftcms — эксплойт и детали уязвимости CRITICAL

Параметр	Значение
CVSS	9,4 (CRITICAL)
Уязвимые версии	до 5.9.0
Устранено в версии	5.9.0
Тип уязвимости	CWE-1336 (Внедрение через шаблоны), CWE-94 (Внедрение кода), CWE-184
Поставщик	Craftcms
Публичный эксплойт	Нет

Craft — это система управления контентом (CMS). До версий 5.9.0-beta.1 и 4.17.0-beta.1 Craft CMS реализовывал черный список, чтобы предотвратить вызов потенциально опасных функций PHP с помощью стрелочных функций Twig, не связанных с замыканием. Чтобы иметь возможность успешно выполнить эту атаку, вам необходимо либо разрешить разрешить AdminChanges в рабочей среде, либо скомпрометировать учетную запись администратора, либо учетную запись с доступом к утилите «Системные сообщения».

Некоторые функции PHP не включены в черный список, что может позволить злоумышленникам с необходимыми разрешениями выполнять различные типы полезных данных, включая RCE, чтение произвольных файлов, SSRF и SSTI. Эта уязвимость исправлена в версиях 5.9.0-beta.1 и 4.17.0-beta.1.

Показать оригинальное описание (EN)

Craft is a content management system (CMS). Prior to 5.9.0-beta.1 and 4.17.0-beta.1, Craft CMS implements a blocklist to prevent potentially dangerous PHP functions from being called via Twig non-Closure arrow functions. In order to be able to successfully execute this attack, you need to either have allowAdminChanges enabled on production, or a compromised admin account, or an account with access to the System Messages utility. Several PHP functions are not included in the blocklist, which could allow malicious actors with the required permissions to execute various types of payloads, including RCEs, arbitrary file reads, SSRFs, and SSTIs. This vulnerability is fixed in 5.9.0-beta.1 and 4.17.0-beta.1.

Характеристики атаки

Способ атаки

По сети

Атака возможна удалённо

Сложность

Низкая

Легко эксплуатировать

Условия для атаки

Не требуются

Нет дополнительных условий

Нужны права

Высокие

Нужны права администратора

Участие пользователя

Не требуется

Не нужно действие пользователя

Последствия

Конфиденциальность

Высокое

Полная утечка данных

Целостность

Высокое

Полная модификация данных

Доступность

Высокое

Полный отказ в обслуживании

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-1336 Template Injection (Внедрение через шаблоны)

CWE-94 Code Injection (Внедрение кода)

CWE-184

Уязвимые продукты 8

Конфигурация	От (включительно)	До (исключительно)
Craftcms Craft_Cms cpe:2.3:a:craftcms:craft_cms::::::::	`> 4.0.0`	`4.17.0`
Craftcms Craft_Cms cpe:2.3:a:craftcms:craft_cms::::::::	`> 5.0.0`	`5.9.0`
Craftcms Craft_Cms cpe:2.3:a:craftcms:craft_cms:4.0.0:-::::::	—	—
Craftcms Craft_Cms cpe:2.3:a:craftcms:craft_cms:4.0.0:rc1::::::	—	—
Craftcms Craft_Cms cpe:2.3:a:craftcms:craft_cms:4.0.0:rc2::::::	—	—
Craftcms Craft_Cms cpe:2.3:a:craftcms:craft_cms:4.0.0:rc3::::::	—	—
Craftcms Craft_Cms cpe:2.3:a:craftcms:craft_cms:5.0.0:-::::::	—	—
Craftcms Craft_Cms cpe:2.3:a:craftcms:craft_cms:5.0.0:rc1::::::	—	—