Was ist Remote Code Execution (RCE)?

Remote Code Execution (RCE) ist eine Art von Schwachstelle, die es einem Angreifer ermöglicht, beliebigen Code auf einem Zielsystem von einem Remote-Standort aus auszuführen. Dies kann zu einer vollständigen Systemkompromittierung, Datendiebstahl oder Dienstverweigerung führen.

Was ist Behavior Injection in Craft CMS?

Behavior Injection ist eine Schwachstelle, die es Angreifern ermöglicht, bösartigen Code in Craft CMS einzuschleusen, indem sie die Art und Weise ausnutzen, wie das System Objektkonfigurationen verarbeitet. Durch die Manipulation von Eingabeparametern können Angreifer Yii2-Verhaltensweisen oder Ereignis-Handler einschleusen, die beliebigen Code ausführen.

Wie aktualisiere ich Craft CMS auf die neueste Version?

Sie können Craft CMS mit Composer, einem Dependency-Management-Tool für PHP, auf die neueste Version aktualisieren. Führen Sie den Befehl `composer update craftcms/cms` in Ihrem Projektverzeichnis aus, um Craft CMS und seine Abhängigkeiten auf die neuesten Versionen zu aktualisieren.

Was ist Metadaten-Offenlegung?

Metadaten-Offenlegung ist eine Art von Schwachstelle, bei der sensible Informationen über ein System oder seine Assets unbeabsichtigt offengelegt werden. Diese Informationen können Dateipfade, Benutzernamen oder andere Details enthalten, die verwendet werden könnten, um das System weiter zu kompromittieren.

Craft CMS: Mehrere RCE- und Metadaten-Offenlegungs-Schwachstellen

In Craft CMS wurden mehrere Schwachstellen entdeckt, darunter Remote-Code-Ausführungsfehler (RCE) und ein Problem mit der Offenlegung von Asset-Metadaten. Diese Schwachstellen könnten es Angreifern mit Administratorrechten ermöglichen, beliebigen Code auf dem Server auszuführen, oder es Benutzern mit geringen Rechten ermöglichen, auf private Asset-Metadaten zuzugreifen. Patches sind in den Craft CMS-Versionen 5.8.22, 5.9.11, 4.17.5 und 5.9.14 verfügbar.

Der Schweregrad dieser Schwachstellen variiert, wobei RCE-Schwachstellen mit 7,5 (hoch) und die Offenlegung von Metadaten mit 2,5 (niedrig) bewertet werden.

Was ist Craftcms/cms?

Craft CMS ist ein flexibles und benutzerfreundliches Content-Management-System (CMS), das auf PHP basiert. Es wurde entwickelt, um eine anpassbare Plattform für die Erstellung von Websites, Anwendungen und digitalen Erlebnissen bereitzustellen. Craft CMS zeichnet sich durch seinen Fokus auf Content-Modellierung, entwicklerfreundliche Tools und ein robustes Plugin-Ökosystem aus. Craft CMS wird von einer Vielzahl von Organisationen verwendet, von kleinen Unternehmen bis hin zu großen Konzernen, um alles von einfachen Websites bis hin zu komplexen Webanwendungen zu erstellen. Es ist besonders beliebt bei Entwicklern und Designern, die seine Flexibilität und Kontrolle über die Front-End-Präsentation schätzen. Um mehr zu erfahren, suchen Sie nach allen craftcms/cms CVEs.

CVE-2026-25498: Craft CMS Authentifizierte Remote Code Execution über bösartiges Verhalten

CVSS7.5

Betroffene VersionenDiese Schwachstelle betrifft Craft CMS-Versionen 5.8.9 und früher, die Admin-Zugriff und Zugriff auf das Admin-Panel erfordern.

Hoher Schweregrad: ermöglicht Remote-Code-Ausführung mit Admin-Zugriff.

Mit einem EPSS-Score von 0,301 besteht eine moderate Wahrscheinlichkeit der Ausnutzung.

Eine Remote-Code-Ausführungs-Schwachstelle (RCE) existiert in Craft CMS aufgrund unzureichender Bereinigung von benutzergelieferten Konfigurationsdaten in der Funktion `assembleLayoutFromPost()`. Ein authentifizierter Administrator kann bösartige Yii2-Verhaltenskonfigurationen einschleusen, was zur Ausführung beliebiger Systembefehle führt.

So beheben Sie CVE-2026-25498 in Craftcms/cms

Sofort patchen

1.Aktualisieren Sie Craft CMS auf Version 5.8.22 oder höher.

Craft CMS aktualisieren

composer update craftcms/cms

Workaround: Es gibt keine andere Möglichkeit als das Patchen.

NextGuard kennzeichnet CVE-2026-25498 automatisch, wenn craftcms/cms in einem Ihrer überwachten Projekte vorkommt – keine manuelle Suche erforderlich.

CVE-2026-32263: Craft CMS Behavior Injection RCE über EntryTypesController

CVSS7.5

Betroffene VersionenDiese Schwachstelle betrifft Craft CMS-Versionen 5.9.9 und früher, die Administratorberechtigungen für das Craft-Kontrollfeld und die Aktivierung von `allowAdminChanges` erfordern.

Hoher Schweregrad: ermöglicht Remote-Code-Ausführung mit Admin-Zugriff.

Mit einem EPSS-Score von 0,031 ist die Wahrscheinlichkeit einer Ausnutzung gering.

Eine Behavior-Injection-Schwachstelle existiert in Craft CMS innerhalb der Funktion `EntryTypesController::actionApplyOverrideSettings()`. Das Array `$settings` wird ohne ordnungsgemäße Bereinigung direkt an `Craft::configure()` übergeben, was die Einschleusung bösartiger Yii2-Verhaltens-/Ereignis-Handler ermöglicht.

So beheben Sie CVE-2026-32263 in Craftcms/cms

Sofort patchen

1.Aktualisieren Sie Craft CMS auf Version 5.9.11 oder höher.

Craft CMS aktualisieren

composer update craftcms/cms

Workaround: Es gibt keine andere Möglichkeit als das Patchen.

NextGuard kennzeichnet CVE-2026-32263 automatisch, wenn craftcms/cms in einem Ihrer überwachten Projekte vorkommt – keine manuelle Suche erforderlich.

CVE-2026-32264: Craft CMS Behavior Injection RCE in ElementIndexesController und FieldsController

CVSS7.5

Betroffene VersionenDiese Schwachstelle betrifft Craft CMS-Versionen 4.9.7 und früher, die Administratorberechtigungen für das Craft-Kontrollfeld und die Aktivierung von `allowAdminChanges` erfordern.

Hoher Schweregrad: ermöglicht Remote-Code-Ausführung mit Admin-Zugriff.

Mit einem EPSS-Score von 0,031 ist die Wahrscheinlichkeit einer Ausnutzung gering.

Eine Behavior-Injection-Schwachstelle existiert in Craft CMS innerhalb der `ElementIndexesController` und `FieldsController`. Ähnlich wie bei CVE-2026-32263 ermöglicht eine unsachgemäße Bereinigung die Einschleusung bösartiger Yii2-Verhaltens-/Ereignis-Handler, was zu Remote-Code-Ausführung führt.

So beheben Sie CVE-2026-32264 in Craftcms/cms

Sofort patchen

1.Aktualisieren Sie Craft CMS auf Version 4.17.5 oder höher.

Craft CMS aktualisieren

composer update craftcms/cms

Workaround: Es gibt keine andere Möglichkeit als das Patchen.

NextGuard kennzeichnet CVE-2026-32264 automatisch, wenn craftcms/cms in einem Ihrer überwachten Projekte vorkommt – keine manuelle Suche erforderlich.

GHSA-44px-qjjc-xrhq: Craft CMS Asset Preview Metadaten-Offenlegung

CVSS2.5

Betroffene VersionenDiese Schwachstelle betrifft Craft CMS-Installationen mit authentifizierten Benutzern mit gemischten Berechtigungsstufen mit privaten Assets, insbesondere die Versionen 5.9.9 und früher.

Geringer Schweregrad: ermöglicht unbefugten Zugriff auf Asset-Metadaten.

Für diese Schwachstelle ist kein EPSS-Score verfügbar.

Eine Schwachstelle in Craft CMS zur Offenlegung von Asset-Metadaten liegt vor, wenn autorisierte Asset-"Vorschaudatei"-Anfragen die Zugriffskontrollen umgehen. Ein Benutzer mit geringen Rechten kann `assets/preview-file` für ein Asset aufrufen, das er nicht anzeigen darf, und trotzdem Vorschaudaten erhalten.

So beheben Sie GHSA-44px-qjjc-xrhq in Craftcms/cms

Innerhalb von 7 Tagen patchen

1.Aktualisieren Sie Craft CMS auf Version 5.9.14 oder höher.

Craft CMS aktualisieren

composer update craftcms/cms

Workaround: Es gibt keine andere Möglichkeit als das Patchen.

Bleiben Sie php-Schwachstellen einen Schritt voraus

Schützen Sie Ihre Anwendungen proaktiv, indem Sie Schwachstellen identifizieren und beheben, bevor sie ausgenutzt werden können. Überwachen Sie Ihre php-Abhängigkeiten auf bekannte und neu auftretende Bedrohungen.

Pläne vergleichen

Häufig gestellte Fragen

Diese Schwachstellen unterstreichen, wie wichtig es ist, Craft CMS auf dem neuesten Stand zu halten und bewährte Sicherheitsmethoden zu befolgen. Das regelmäßige Patchen Ihrer Systeme und die Überwachung auf verdächtige Aktivitäten können dazu beitragen, sich vor potenziellen Angriffen zu schützen. Alle php-Schwachstellen anzeigen.

Verwandte Themen

Remote Code ExecutionCraft CMSPHP SecurityVulnerability ManagementMetadata Disclosure