Plataforma
php
Componente
craftcms/cms
Corregido en
5.0.1
4.0.1
5.9.9
Se ha descubierto una vulnerabilidad de Ejecución Remota de Código (RCE) en el sistema de condiciones de Craft CMS versión 5.9.8 y anteriores. Esta vulnerabilidad permite a usuarios autenticados, incluso aquellos con roles no administrativos como Autor o Editor, ejecutar código arbitrario en el servidor. La vulnerabilidad se encuentra en la función renderObjectTemplate() que no escapa correctamente la entrada del usuario, permitiendo la inyección de código malicioso. La solución es actualizar a la versión 5.9.9.
La vulnerabilidad de RCE en Craft CMS permite a un atacante, con acceso autenticado al panel de control, comprometer completamente el servidor. Un atacante puede ejecutar comandos arbitrarios en el sistema, acceder a datos sensibles, modificar archivos, instalar malware o incluso tomar el control total del servidor. La facilidad de explotación, que no requiere privilegios de administrador, amplía significativamente el riesgo. La vulnerabilidad se aprovecha enviando una regla de condición maliciosa a través de los endpoints estándar de listado de elementos, lo que la convierte en una amenaza considerable para sitios web que dependen de Craft CMS para la gestión de contenido. Esta vulnerabilidad comparte similitudes con otras vulnerabilidades de inyección de código en sistemas de plantillas, donde la falta de sanitización de la entrada del usuario puede llevar a la ejecución de código no deseado.
La vulnerabilidad CVE-2026-31857 fue publicada el 11 de marzo de 2026. No se ha añadido a la lista KEV de CISA al momento de la publicación. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad (RCE con acceso autenticado) la convierte en un objetivo atractivo para los atacantes. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Organizations and individuals using Craft CMS 5.9.8 or earlier, particularly those with non-admin users (Authors, Editors) having Control Panel access, are at significant risk. Shared hosting environments running Craft CMS are also vulnerable, as the attacker could potentially exploit the vulnerability through a compromised user account.
• php: Examine Craft CMS logs for requests to element listing endpoints containing unusual or excessively long condition rule parameters.
grep 'condition_rule' /path/to/craftcms/logs/web.log• php: Check for modified or newly created files in the Craft CMS template directory that could contain malicious code.
find /path/to/craftcms/templates -type f -mtime -1• generic web: Monitor web server access logs for requests originating from unusual IP addresses or user agents targeting Craft CMS element listing endpoints. • generic web: Inspect response headers for unexpected content or redirects that might indicate code execution.
disclosure
Estado del Exploit
EPSS
0.10% (28% percentil)
CISA SSVC
La mitigación principal para CVE-2026-31857 es actualizar Craft CMS a la versión 5.9.9 o superior, que incluye la corrección de la vulnerabilidad. Si la actualización inmediata no es posible, se recomienda restringir el acceso al panel de control a usuarios con privilegios administrativos únicamente. Implementar un Web Application Firewall (WAF) con reglas que detecten y bloqueen patrones de inyección de código en las solicitudes HTTP puede proporcionar una capa adicional de protección. Monitorear los logs del servidor en busca de patrones sospechosos, como la ejecución de comandos inusuales o el acceso a archivos sensibles, también puede ayudar a detectar y responder a posibles ataques. Después de la actualización, confirme la mitigación revisando los logs del sistema y realizando pruebas de penetración para asegurar que la vulnerabilidad ha sido completamente resuelta.
Actualice Craft CMS a la versión 5.9.9 o 4.17.4, según corresponda, para mitigar la vulnerabilidad de ejecución remota de código. Esta actualización corrige la forma en que se procesan las reglas de condición en el panel de control, evitando la ejecución de código no deseado. Se recomienda realizar la actualización lo antes posible.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-31857 is a Remote Code Execution vulnerability affecting Craft CMS versions 5.9.8 and earlier. It allows authenticated Control Panel users to execute arbitrary code.
You are affected if you are running Craft CMS version 5.9.8 or earlier. Upgrade to 5.9.9 or later to mitigate the vulnerability.
Upgrade Craft CMS to version 5.9.9 or later. As a temporary workaround, implement strict input validation on condition rule parameters and consider WAF rules.
While there are currently no confirmed active campaigns, the availability of a public proof-of-concept increases the risk of future exploitation.
Refer to the official Craft CMS security advisory for detailed information and updates: [https://craftcms.com/security/advisories](https://craftcms.com/security/advisories)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.