Plataforma
php
Componente
craftcms/cms
Corrigido em
4.0.1
5.0.1
4.17.5
Uma falha de Execução Remota de Código (RCE) foi descoberta no Craft CMS, permitindo que atacantes com privilégios de administrador explorem vulnerabilidades persistentes. A correção anterior para uma vulnerabilidade relacionada (GHSA-7jx7-3846-m7w7) não abordou completamente o problema, deixando abertas brechas em ElementIndexesController e FieldsController. A exploração requer permissões de administrador no painel de controle do Craft e a ativação da opção allowAdminChanges.
Um atacante que explore com sucesso esta vulnerabilidade pode executar código arbitrário no servidor onde o Craft CMS está instalado. Isso pode levar à tomada de controle completa do sistema, roubo de dados confidenciais, modificação de conteúdo do site e até mesmo à instalação de malware. A vulnerabilidade se assemelha ao padrão de exploração visto em outras RCEs, como a exploração de gadgets de cadeia, e pode permitir o movimento lateral dentro da rede se o servidor tiver acesso a outros recursos. O raio de impacto é significativo, potencialmente afetando todos os dados e serviços hospedados no servidor comprometido.
Esta vulnerabilidade foi publicada em 2026-03-16. A probabilidade de exploração é considerada média, dada a necessidade de permissões de administrador e a ativação de allowAdminChanges. Não há evidências de que esta vulnerabilidade esteja sendo ativamente explorada em campanhas direcionadas no momento, mas a existência de um gadget chain reutilizável aumenta o risco. Consulte o NVD e a CISA para atualizações e informações adicionais.
Organizations using Craft CMS with administrator accounts and the allowAdminChanges setting enabled are at significant risk. This includes those running legacy Craft CMS installations or those who have not yet applied the initial patch for the related advisory. Shared hosting environments where multiple users share a Craft CMS instance are also particularly vulnerable.
• linux / server:
journalctl -u craftcms | grep -i "ElementIndexesController" || grep -i "FieldsController"• generic web:
curl -I https://your-craftcms-site.com/admin/actions/element-indexes/update | grep -i "allowAdminChanges"• php:
Check for modifications to src/services/Fields.php, ElementIndexesController, and FieldsController files. Look for unusual code patterns or backdoors.
disclosure
patch
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
A mitigação primária é atualizar o Craft CMS para a versão corrigida, 4.17.5 ou 5.9.11. Se a atualização imediata não for possível, desative temporariamente a opção allowAdminChanges no painel de controle do Craft CMS para reduzir a superfície de ataque. Considere implementar regras de firewall de aplicação web (WAF) ou proxies reverso para bloquear solicitações maliciosas que tentem explorar a vulnerabilidade. Monitore logs do servidor em busca de atividades suspeitas, como tentativas de execução de código não autorizado. Não há assinaturas Sigma ou YARA padrão disponíveis no momento, mas a análise do tráfego de rede pode revelar padrões de ataque.
Actualice Craft CMS a la versión 4.17.5 o superior, o a la versión 5.9.11 o superior. Esto solucionará la vulnerabilidad de inyección de comportamiento en ElementIndexesController y FieldsController. Asegúrese de tener permisos de administrador del panel de control de Craft y que allowAdminChanges esté habilitado para aplicar la actualización.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade de Execução Remota de Código (RCE) no Craft CMS que permite a um atacante executar código arbitrário no servidor.
Se você estiver usando uma versão do Craft CMS anterior a 4.17.5 ou 5.9.11, você é vulnerável. Verifique sua versão atual.
Atualize o Craft CMS para a versão 4.17.5 ou 5.9.11. Se a atualização não for imediata, desative allowAdminChanges.
Não há evidências de exploração ativa no momento, mas o risco existe devido à reutilização do gadget chain.
Consulte o aviso de segurança do Craft CMS e as entradas do NVD e CISA para obter mais informações e atualizações.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.