Plateforme
php
Composant
craftcms/cms
Corrigé dans
5.0.1
4.0.1
5.9.9
Une vulnérabilité d'exécution de code à distance (RCE) a été découverte dans le système de conditions de Craft CMS, version 5 et antérieures. Cette faille permet à un utilisateur authentifié du panneau de contrôle, même sans privilèges d'administrateur, d'exécuter du code arbitraire sur le serveur. Les versions affectées sont celles inférieures ou égales à 5.9.8. Une correction est disponible dans la version 5.9.9.
L'impact de cette vulnérabilité est critique. Un attaquant peut exploiter cette faille en envoyant une règle de condition malveillante via les points d'accès standard de l'élément. L'exécution de code à distance permet à l'attaquant de prendre le contrôle complet du serveur hébergeant Craft CMS, compromettant potentiellement toutes les données sensibles stockées sur celui-ci. Cela inclut les informations des utilisateurs, les données de configuration et les fichiers du site web. La possibilité d'exécution de code sans privilèges d'administrateur augmente considérablement la surface d'attaque et facilite l'exploitation par des acteurs malveillants moins expérimentés. Cette vulnérabilité présente un risque élevé de compromission des systèmes.
Cette vulnérabilité a été rendue publique le 11 mars 2026. Bien qu'aucune exploitation active à grande échelle n'ait été signalée à ce jour, la facilité d'exploitation et l'absence de privilèges d'administrateur requis suggèrent un risque élevé d'exploitation. Il est probable que des preuves de concept (PoC) soient rapidement disponibles, ce qui pourrait entraîner une augmentation des attaques. Le statut de cette vulnérabilité sur le KEV de CISA est en attente d'évaluation.
Organizations and individuals using Craft CMS 5.9.8 or earlier, particularly those with non-admin users (Authors, Editors) having Control Panel access, are at significant risk. Shared hosting environments running Craft CMS are also vulnerable, as the attacker could potentially exploit the vulnerability through a compromised user account.
• php: Examine Craft CMS logs for requests to element listing endpoints containing unusual or excessively long condition rule parameters.
grep 'condition_rule' /path/to/craftcms/logs/web.log• php: Check for modified or newly created files in the Craft CMS template directory that could contain malicious code.
find /path/to/craftcms/templates -type f -mtime -1• generic web: Monitor web server access logs for requests originating from unusual IP addresses or user agents targeting Craft CMS element listing endpoints. • generic web: Inspect response headers for unexpected content or redirects that might indicate code execution.
disclosure
Statut de l'Exploit
EPSS
0.10% (percentile 28%)
CISA SSVC
La solution la plus efficace est de mettre à jour Craft CMS vers la version 5.9.9 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de limiter l'impact en restreignant l'accès au panneau de contrôle aux utilisateurs disposant uniquement des privilèges nécessaires. Il est également recommandé de surveiller les journaux d'accès et d'erreurs pour détecter toute activité suspecte. L'implémentation d'un Web Application Firewall (WAF) peut aider à bloquer les requêtes malveillantes ciblant cette vulnérabilité. Après la mise à jour, vérifiez l'intégrité des fichiers du système et examinez les journaux pour détecter toute activité anormale.
Mettez à jour Craft CMS à la version 5.9.9 ou 4.17.4, selon le cas, pour atténuer la vulnérabilité d'exécution à distance de code. Cette mise à jour corrige la façon dont les règles de condition sont traitées dans le panneau de contrôle, empêchant l'exécution de code non désiré. Il est recommandé d'effectuer la mise à jour dès que possible.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-31857 is a Remote Code Execution vulnerability affecting Craft CMS versions 5.9.8 and earlier. It allows authenticated Control Panel users to execute arbitrary code.
You are affected if you are running Craft CMS version 5.9.8 or earlier. Upgrade to 5.9.9 or later to mitigate the vulnerability.
Upgrade Craft CMS to version 5.9.9 or later. As a temporary workaround, implement strict input validation on condition rule parameters and consider WAF rules.
While there are currently no confirmed active campaigns, the availability of a public proof-of-concept increases the risk of future exploitation.
Refer to the official Craft CMS security advisory for detailed information and updates: [https://craftcms.com/security/advisories](https://craftcms.com/security/advisories)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.