CVE-2026-28784 Craftcms — эксплойт и детали уязвимости HIGH

Параметр	Значение
CVSS	8,6 (HIGH)
Уязвимые версии	до 5.9.0
Устранено в версии	4.17.0
Тип уязвимости	CWE-1336 (Внедрение через шаблоны)
Поставщик	Craftcms
Публичный эксплойт	Нет

Craft — это система управления контентом (CMS). До версий 5.8.22 и 4.16.18 можно было создать вредоносную полезную нагрузку с помощью фильтра карты Twig в текстовых полях, которые принимают ввод Twig в разделе «Настройки» на панели управления «Создание», или с помощью утилиты «Системные сообщения», что могло привести к RCE. Чтобы это работало, у вас должен быть доступ администратора к панели управления Craft, и для этого необходимо включить параметрallowAdminChanges, что противоречит нашим рекомендациям для любой среды, не связанной с разработкой.

Альтернативно вы можете иметь учетную запись без прав администратора с отключенным параметром «allowAdminChanges», но у вас есть доступ к утилите «Системные сообщения». Пользователям следует обновиться до исправленных версий (5.8.22 и 4.16.18), чтобы устранить проблему.

Показать оригинальное описание (EN)

Craft is a content management system (CMS). Prior to 5.8.22 and 4.16.18, it is possible to craft a malicious payload using the Twig map filter in text fields that accept Twig input under Settings in the Craft control panel or using the System Messages utility, which could lead to a RCE. For this to work, you must have administrator access to the Craft Control Panel, and allowAdminChanges must be enabled for this to work, which is against our recommendations for any non-dev environment. Alternatively, you can have a non-administrator account with allowAdminChanges disabled, but you have access to the System Messages utility. Users should update to the patched versions (5.8.22 and 4.16.18) to mitigate the issue.

Характеристики атаки

Способ атаки

По сети

Атака возможна удалённо

Сложность

Низкая

Легко эксплуатировать

Условия для атаки

Не требуются

Нет дополнительных условий

Нужны права

Высокие

Нужны права администратора

Участие пользователя

Не требуется

Не нужно действие пользователя

Последствия

Конфиденциальность

Высокое

Полная утечка данных

Целостность

Высокое

Полная модификация данных

Доступность

Высокое

Полный отказ в обслуживании

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-1336 Template Injection (Внедрение через шаблоны)

Уязвимые продукты 8

Конфигурация	От (включительно)	До (исключительно)
Craftcms Craft_Cms cpe:2.3:a:craftcms:craft_cms::::::::	`> 4.0.0`	`4.17.0`
Craftcms Craft_Cms cpe:2.3:a:craftcms:craft_cms::::::::	`> 5.0.0`	`5.9.0`
Craftcms Craft_Cms cpe:2.3:a:craftcms:craft_cms:4.0.0:-::::::	—	—
Craftcms Craft_Cms cpe:2.3:a:craftcms:craft_cms:4.0.0:rc1::::::	—	—
Craftcms Craft_Cms cpe:2.3:a:craftcms:craft_cms:4.0.0:rc2::::::	—	—
Craftcms Craft_Cms cpe:2.3:a:craftcms:craft_cms:4.0.0:rc3::::::	—	—
Craftcms Craft_Cms cpe:2.3:a:craftcms:craft_cms:5.0.0:-::::::	—	—
Craftcms Craft_Cms cpe:2.3:a:craftcms:craft_cms:5.0.0:rc1::::::	—	—