Plateforme
php
Composant
formwork
Corrigé dans
2.0.1
La vulnérabilité CVE-2026-27198 affecte le système de gestion de contenu (CMS) Formwork, versions 2.0.0 à 2.3.3. Elle permet à un utilisateur authentifié, disposant du rôle d'éditeur, de créer un nouveau compte avec des privilèges administratifs, conduisant à une compromission totale du CMS. La vulnérabilité a été corrigée dans la version 2.3.4 et une mise à jour est fortement recommandée.
Cette faille de contrôle d'accès permet à un attaquant authentifié, avec un rôle d'éditeur, de contourner les mécanismes de sécurité et d'obtenir un accès administrateur complet à l'instance Formwork. Un attaquant disposant de ces privilèges peut modifier le contenu du site, installer des logiciels malveillants, accéder à des données sensibles, et potentiellement compromettre d'autres systèmes connectés. L'impact est significatif, car il permet une prise de contrôle totale du CMS et des données qu'il contient. Cette vulnérabilité est similaire à d'autres failles d'élévation de privilèges où une authentification préalable est requise, mais les contrôles d'autorisation sont insuffisants.
La vulnérabilité a été rendue publique le 2026-02-21. Il n'y a pas d'indication d'une exploitation active à l'heure actuelle, ni de preuve de sa présence sur la liste KEV de CISA. Aucun proof-of-concept (PoC) public n'a été identifié à ce jour, mais la simplicité de l'exploitation potentielle suggère qu'il pourrait en émerger rapidement.
Organizations using Formwork CMS, particularly those with multiple users and a reliance on the 'editor' role for content management, are at risk. Shared hosting environments where multiple CMS instances share the same server are also at increased risk, as a compromise of one instance could potentially lead to the compromise of others.
• php: Examine Formwork CMS configuration files for unusual user roles or permissions. • generic web: Monitor access logs for POST requests to account creation endpoints with suspicious parameters. • generic web: Check CMS logs for successful account creations with administrative roles by users with the 'editor' role.
# Example: Grepping access logs for account creation attempts
grep 'POST /admin/users/create' access.logdisclosure
Statut de l'Exploit
EPSS
0.02% (percentile 4%)
CISA SSVC
Vecteur CVSS
La solution principale est de mettre à jour Formwork vers la version 2.3.4, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une mesure d'atténuation temporaire consiste à restreindre les privilèges des utilisateurs existants. Il est crucial de s'assurer que les utilisateurs disposant du rôle d'éditeur n'ont pas la possibilité d'assigner des rôles administratifs. En outre, une surveillance accrue des activités des utilisateurs avec des privilèges élevés peut aider à détecter une exploitation potentielle. Vérifiez après la mise à jour que la création de comptes administratifs par des utilisateurs non autorisés est bloquée.
Mettez à jour Formwork à la version 2.3.4 ou supérieure. Cette version corrige la vulnérabilité qui permet aux utilisateurs disposant de privilèges d'éditeur de créer des comptes avec des privilèges d'administrateur. La mise à jour empêchera l'escalade de privilèges et protégera le CMS contre un compromis total.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-27198 is a vulnerability in Formwork CMS where an editor can create admin accounts, gaining full control. It affects versions 2.0.0 through 2.3.3 and is rated HIGH severity.
You are affected if you are running Formwork CMS versions 2.0.0 through 2.3.3. Check your version and upgrade immediately if vulnerable.
Upgrade Formwork CMS to version 2.3.4 or later to resolve this vulnerability. If immediate upgrade is not possible, implement stricter role-based access controls.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the Formwork CMS official website and security advisories for the latest information and updates regarding CVE-2026-27198.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.