Craft — это система управления контентом (CMS). В конечной точке ElementSearchController::actionSearch() отсутствует защита unset(), которая была добавлена в ElementIndexesController в CVE-2026-25495. Точно такая же уязвимость SQL-инъекции (включая критерии[orderBy], исходный вектор рекомендаций) работает и на этом контроллере, поскольку к нему так и не было применено исправление.
Любой прошедший проверку подлинности пользователь панели управления (администратор не требуется) может внедрить произвольный SQL-код с помощью критериев[where], критериев[orderBy] или других свойств запроса, а также извлечь полное содержимое базы данных с помощью слепой инъекции на основе логических значений. Пользователям следует обновиться до исправленной версии 5.9.9, чтобы устранить проблему.
Показать оригинальное описание (EN)
Craft is a content management system (CMS). The ElementSearchController::actionSearch() endpoint is missing the unset() protection that was added to ElementIndexesController in CVE-2026-25495. The exact same SQL injection vulnerability (including criteria[orderBy], the original advisory vector) works on this controller because the fix was never applied to it. Any authenticated control panel user (no admin required) can inject arbitrary SQL via criteria[where], criteria[orderBy], or other query properties, and extract the full database contents via boolean-based blind injection. Users should update to the patched 5.9.9 release to mitigate the issue.
Характеристики атаки
Последствия
Строка CVSS v4.0