平台
php
组件
craftcms/cms
修复版本
5.0.1
4.0.1
5.8.22
CVE-2026-25498 是 Craft CMS 中的远程代码执行 (RCE) 漏洞。此漏洞允许未经授权的攻击者在受影响的系统上执行任意代码,可能导致严重的数据泄露和系统控制。该漏洞影响 Craft CMS 版本 5.8.9 及更早版本。已发布补丁版本 5.8.22。
攻击者可以利用此 RCE 漏洞在 Craft CMS 服务器上执行任意代码。这可能包括读取敏感数据、修改网站内容、安装恶意软件,甚至完全控制服务器。由于该漏洞与先前已修复的漏洞 GHSA-255j-qw47-wjh5 相关,攻击者可能尝试利用多个入口点来获得代码执行权限。攻击者可以利用此漏洞进行横向移动,如果服务器上运行其他应用程序,则可能影响其他系统。该漏洞的潜在影响范围广泛,可能导致严重的业务中断和数据泄露。
目前没有公开的漏洞利用代码,但由于该漏洞的严重性和与先前已修复漏洞的相关性,存在被利用的风险。该漏洞已于 2026 年 2 月 9 日公开。CISA 尚未将其添加到 KEV 目录,但应密切关注其状态。建议密切监控 Craft CMS 实例,以检测任何可疑活动。
漏洞利用状态
EPSS
0.30% (53% 百分位)
CISA SSVC
最有效的缓解措施是立即将 Craft CMS 升级至 5.8.22 或更高版本。如果无法立即升级,可以考虑使用 Web 应用程序防火墙 (WAF) 来阻止对 /index.php?p=admin%2Factions%2Ffields%2Fapply-layout-element-settings 和 /index.php?p=admin%2Factions%2Ffields%2Frender-card-preview 等受影响端点的请求。此外,应审查 Craft CMS 的配置,确保遵循最佳安全实践,并限制对敏感资源的访问。升级后,请验证漏洞是否已成功修复,例如通过尝试访问受影响的端点并确认返回错误。
Actualice Craft CMS a la versión 5.8.22 o superior. Esta versión contiene la corrección de seguridad para la vulnerabilidad de ejecución remota de código. La actualización se puede realizar a través del panel de control de Craft CMS o mediante Composer.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-25498 是 Craft CMS 中的远程代码执行漏洞,允许攻击者执行恶意代码。CVSS 评分 7.5 (高),影响版本 ≤5.8.9。
如果您正在使用 Craft CMS 5.8.9 或更早版本,则您可能受到此漏洞的影响。请立即升级至 5.8.22 或更高版本。
升级至 Craft CMS 5.8.22 或更高版本是修复此漏洞的最佳方法。如果无法立即升级,请使用 WAF 阻止对受影响端点的请求。
目前没有公开的漏洞利用代码,但由于漏洞的严重性,存在被利用的风险。
请访问 Craft CMS 安全公告页面:https://github.com/craftcms/cms/security/advisories