Plataforma
php
Componente
craftcms/cms
Corrigido em
5.0.1
4.0.1
5.8.22
A vulnerabilidade CVE-2026-25498 é uma falha de Execução Remota de Código (RCE) descoberta no Craft CMS. Essa falha permite que um atacante execute código arbitrário no servidor, potencialmente comprometendo a integridade e a confidencialidade dos dados. Versões do Craft CMS anteriores à 5.8.22 são vulneráveis. A atualização para a versão 5.8.22 é a solução recomendada.
Um atacante explorando com sucesso a CVE-2026-25498 pode obter controle total sobre o servidor que hospeda o Craft CMS. Isso inclui a capacidade de ler, modificar ou excluir dados, instalar malware, e até mesmo usar o servidor como um ponto de apoio para atacar outros sistemas na rede. A vulnerabilidade é similar à falha corrigida em GHSA-255j-qw47-wjh5, mas afeta endpoints adicionais não cobertos pela correção anterior. O impacto potencial é significativo, especialmente em ambientes de produção com dados sensíveis.
A vulnerabilidade foi publicada em 09 de fevereiro de 2026. A probabilidade de exploração é considerada média, dada a natureza de RCE e a disponibilidade de informações sobre a falha. Não há indícios de campanhas ativas de exploração no momento, mas a falta de uma correção imediata pode aumentar o risco. A vulnerabilidade não está listada no KEV (Kernel Exploit Enumeration Visibility) até o momento.
Status do Exploit
EPSS
0.30% (percentil 53%)
CISA SSVC
A mitigação primária para a CVE-2026-25498 é a atualização imediata para a versão 5.8.22 do Craft CMS. Se a atualização imediata não for possível, considere implementar regras de firewall (WAF) ou proxy para bloquear o acesso aos endpoints vulneráveis mencionados na descrição da vulnerabilidade. Monitore os logs do servidor em busca de atividades suspeitas, como requisições anormais para os endpoints administrativos. Após a atualização, confirme a correção verificando a versão do Craft CMS instalada e realizando testes de penetração básicos.
Actualice Craft CMS a la versión 5.8.22 o superior. Esta versión contiene la corrección de seguridad para la vulnerabilidad de ejecución remota de código. La actualización se puede realizar a través del panel de control de Craft CMS o mediante Composer.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-25498 is a Remote Code Execution (RCE) vulnerability affecting Craft CMS. It allows attackers to potentially execute arbitrary code on a vulnerable system, similar to a previously patched vulnerability but impacting additional endpoints.
You are likely affected if you are running Craft CMS version 5.8.9 or earlier. It's crucial to assess your environment and upgrade to a patched version to mitigate this risk.
Upgrade Craft CMS to version 5.8.22 or later to address this vulnerability. This update includes the necessary fixes to prevent unauthorized code execution.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.