Plataforma
php
Componente
craftcms/cms
Corrigido em
5.0.1
4.0.1
5.9.9
Uma vulnerabilidade de Execução Remota de Código (RCE) foi descoberta no sistema de condições do Craft CMS versão 5.9.8 e anteriores. A falha reside na forma como a função renderObjectTemplate() processa entradas de string controladas pelo usuário, sem a devida sanitização. Usuários autenticados no painel de controle, incluindo autores e editores, podem explorar essa vulnerabilidade para executar código malicioso no servidor.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante execute código arbitrário no servidor Craft CMS com os privilégios do usuário autenticado. Isso pode levar ao comprometimento completo do sistema, incluindo a exfiltração de dados confidenciais, a instalação de malware e a modificação de arquivos do sistema. A ausência de restrições de privilégio torna a vulnerabilidade particularmente perigosa, pois usuários com acesso limitado ao painel de controle podem obter acesso irrestrito ao servidor. A exploração se assemelha a ataques de injeção de código em modelos Twig, onde a falta de escaping adequado permite a execução de comandos do sistema operacional.
A vulnerabilidade foi divulgada em 2026-03-11. Não há informações disponíveis sobre exploração ativa ou campanhas direcionadas. A ausência de um PoC público amplamente divulgado sugere um risco de exploração relativamente baixo no momento, mas a facilidade de exploração e o potencial impacto justificam a aplicação imediata da correção. A vulnerabilidade não foi adicionada ao KEV da CISA.
Organizations and individuals using Craft CMS 5.9.8 or earlier, particularly those with non-admin users (Authors, Editors) having Control Panel access, are at significant risk. Shared hosting environments running Craft CMS are also vulnerable, as the attacker could potentially exploit the vulnerability through a compromised user account.
• php: Examine Craft CMS logs for requests to element listing endpoints containing unusual or excessively long condition rule parameters.
grep 'condition_rule' /path/to/craftcms/logs/web.log• php: Check for modified or newly created files in the Craft CMS template directory that could contain malicious code.
find /path/to/craftcms/templates -type f -mtime -1• generic web: Monitor web server access logs for requests originating from unusual IP addresses or user agents targeting Craft CMS element listing endpoints. • generic web: Inspect response headers for unexpected content or redirects that might indicate code execution.
disclosure
Status do Exploit
EPSS
0.10% (percentil 28%)
CISA SSVC
A mitigação primária é a atualização imediata para a versão 5.9.9 ou superior do Craft CMS, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere restringir o acesso ao painel de controle a usuários com privilégios administrativos apenas. Implementar regras de firewall (WAF) para bloquear solicitações que contenham padrões suspeitos nos parâmetros de condição pode ajudar a reduzir o risco. Monitore os logs do servidor em busca de atividades incomuns relacionadas ao processamento de condições e à execução de código.
Atualize o Craft CMS para a versão 5.9.9 ou 4.17.4, conforme apropriado, para mitigar a vulnerabilidade de execução remota de código. Esta atualização corrige a forma como as regras de condição são processadas no painel de controle, evitando a execução de código não desejado. Recomenda-se realizar a atualização o mais breve possível.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-31857 is a Remote Code Execution vulnerability affecting Craft CMS versions 5.9.8 and earlier. It allows authenticated Control Panel users to execute arbitrary code.
You are affected if you are running Craft CMS version 5.9.8 or earlier. Upgrade to 5.9.9 or later to mitigate the vulnerability.
Upgrade Craft CMS to version 5.9.9 or later. As a temporary workaround, implement strict input validation on condition rule parameters and consider WAF rules.
While there are currently no confirmed active campaigns, the availability of a public proof-of-concept increases the risk of future exploitation.
Refer to the official Craft CMS security advisory for detailed information and updates: [https://craftcms.com/security/advisories](https://craftcms.com/security/advisories)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.