Plataforma
php
Componente
statamic/cms
Corregido en
5.73.17
6.0.1
5.73.16
La vulnerabilidad CVE-2026-28425 es una ejecución remota de código (RCE) que afecta a Statamic CMS en versiones anteriores o iguales a v5.9.0. Un atacante autenticado con permisos para configurar campos y editar entradas que utilicen Antlers puede ejecutar código arbitrario en el contexto de la aplicación. Esta vulnerabilidad puede llevar a la completa toma de control de la aplicación, incluyendo el acceso a configuraciones sensibles, la modificación o exfiltración de datos, y afectar la disponibilidad del servicio. La solución es actualizar a la versión 5.73.16.
Esta vulnerabilidad permite a un atacante autenticado, con acceso a campos habilitados para Antlers, ejecutar código arbitrario en el servidor. Esto significa que el atacante podría obtener acceso completo a la aplicación Statamic CMS, incluyendo la base de datos, archivos de configuración y otros recursos sensibles. El atacante podría modificar o eliminar datos, instalar malware, o incluso utilizar el servidor como punto de partida para atacar otros sistemas en la red. El impacto potencial es la pérdida de confidencialidad, integridad y disponibilidad de los datos y servicios proporcionados por Statamic CMS. La explotación se limita a entornos donde Antlers está habilitado en campos controlados por el usuario, como campos de contenido editables o configuraciones específicas de Antlers.
La vulnerabilidad fue publicada el 2026-03-01. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la naturaleza de la RCE la convierte en un objetivo atractivo para los atacantes. Se desconoce si esta vulnerabilidad ha sido agregada al KEV de CISA. La disponibilidad de un proof-of-concept (PoC) público podría aumentar el riesgo de explotación.
Organizations using Statamic CMS with Antlers enabled, particularly those with multiple users who have permissions to configure fields and edit content, are at risk. Shared hosting environments where multiple users share the same Statamic CMS instance are also particularly vulnerable, as a compromised user could potentially impact other users on the same server.
• php: Examine Antlers-enabled content fields for suspicious code or unusual characters. Use grep to search for potentially malicious code snippets within content files.
• php: Review Statamic CMS logs for unusual activity or errors related to Antlers processing. Look for patterns indicative of code injection attempts.
• generic web: Monitor access logs for requests containing unusual Antlers syntax or parameters.
• generic web: Check response headers for unexpected content or code execution indicators.
disclosure
Estado del Exploit
EPSS
0.14% (34% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-28425 es actualizar Statamic CMS a la versión 5.73.16 o superior. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso a los campos Antlers solo a usuarios de confianza. Además, se puede considerar la implementación de reglas en un Web Application Firewall (WAF) para detectar y bloquear intentos de explotación. Revise la configuración de Antlers para asegurar que solo se utilicen campos de contenido controlados por el administrador. No hay firmas Sigma o YARA disponibles públicamente para esta vulnerabilidad, pero se recomienda monitorear los logs de la aplicación en busca de actividad sospechosa relacionada con la ejecución de código.
Actualice Statamic a la versión 5.73.16 o superior, o a la versión 6.7.2 o superior. Esto corrige la vulnerabilidad de ejecución remota de código a través de entradas habilitadas para Antlers en el panel de control. Asegúrese también de que cualquier complemento que dependa de Statamic esté utilizando una versión parcheada.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-28425 is a Remote Code Execution vulnerability in Statamic CMS versions up to 5.9.0. It allows authenticated users with Antlers access to execute arbitrary code on the server.
You are affected if you are using Statamic CMS versions 5.9.0 or earlier and have users with access to Antlers-enabled inputs.
Upgrade Statamic CMS to version 5.73.16 or later. If upgrading is not immediately possible, restrict access to Antlers-enabled inputs.
As of now, there are no publicly known active exploitation campaigns, but the vulnerability's severity warrants immediate attention and remediation.
Refer to the official Statamic security advisory on their website for detailed information and updates: [https://statamic.com/security/advisories](https://statamic.com/security/advisories)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.