HIGHCVE-2026-32264CVSS 7.5

Craft CMS 存在行为注入 RCE 漏洞，影响 ElementIndexesController 和 FieldsController

Q: CVE-2026-32264 是什么 — craftcms/cms 中的 RCE？

设备链是一种利用技术，它使用程序中现有代码的微小片段（“设备”）来构建允许执行任意代码的执行流。

Q: craftcms/cms 中的 CVE-2026-32264 是否会影响我？

这是一个 Craft CMS 中的设置，允许管理员在无需更新源代码的情况下进行系统配置更改。启用它会增加如果存在漏洞则存在被利用的风险。

Q: 如何修复 craftcms/cms 中的 CVE-2026-32264？

如果无法立即更新，请禁用 `allowAdminChanges` 选项并监控服务器日志以查找可疑活动。

Q: CVE-2026-32264 是否正在被积极利用？

是的，所有未更新到版本 4.17.5 或更高版本的 Craft CMS 安装都存在漏洞。

Q: 在哪里可以找到 craftcms/cms 关于 CVE-2026-32264 的官方安全通告？

您可以在原始 GitHub 建议：https://github.com/advisories/GHSA-7jx7-3846-m7w7 和 Craft CMS 安全页面上找到有关此漏洞的更多信息。

平台

php

组件

craftcms/cms

修复版本

4.0.1

5.0.1

4.17.5

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-32264 是 Craft CMS 中的一个远程代码执行 (RCE) 漏洞，该漏洞源于先前修复方案的遗漏。攻击者如果拥有 Craft 控制面板管理员权限并启用了 allowAdminChanges 设置，则可以利用此漏洞执行任意代码。该漏洞影响 Craft CMS 版本小于或等于 4.9.7 的用户，建议尽快更新至 4.17.5 或 5.9.11 以缓解风险。

影响与攻击场景

CVE-2026-32264 影响 Craft CMS，允许在易受攻击的网站上执行远程代码 (RCE)。版本 4.17.5 的初始修复仅解决了问题的一部分，导致关键组件 ElementIndexesController 和 FieldsController 仍然存在漏洞。具有 Craft 控制面板管理员权限并且启用了 allowAdminChanges 选项的攻击者可以使用类似于原始建议 (GHSA-7jx7-3846-m7w7) 的“设备链”来利用此漏洞。这意味着攻击者可能能够在服务器上执行恶意代码，从而危及网站的安全性及其相关数据。

利用背景

此漏洞通过“设备链”利用，利用 Craft CMS 如何处理某些参数和函数调用。攻击者需要访问 Craft CMS 控制面板，并且 allowAdminChanges 选项必须启用。利用包括操纵输入数据以在服务器上触发任意代码执行。版本 4.17.5 之后的完整修复会从此链中删除易受攻击的组件，从而防止利用。

哪些人处于风险中翻译中…

Organizations using Craft CMS with administrator accounts and the allowAdminChanges setting enabled are at significant risk. This includes those running legacy Craft CMS installations or those who have not yet applied the initial patch for the related advisory. Shared hosting environments where multiple users share a Craft CMS instance are also particularly vulnerable.

检测步骤翻译中…

• linux / server:

journalctl -u craftcms | grep -i "ElementIndexesController" || grep -i "FieldsController"

• generic web:

curl -I https://your-craftcms-site.com/admin/actions/element-indexes/update | grep -i "allowAdminChanges"

• php: Check for modifications to src/services/Fields.php, ElementIndexesController, and FieldsController files. Look for unusual code patterns or backdoors.

攻击时间线

2026-03-16Disclosure
disclosure
2026-03-16Patch
patch

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

报告1 份威胁报告

EPSS

0.03% (9% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响total

受影响的软件

组件craftcms/cms

供应商osv

影响范围修复版本

>= 4.0.0-RC1, < 4.17.5 – >= 4.0.0-RC1, < 4.17.54.0.1

>= 5.0.0-RC1, < 5.9.11 – >= 5.0.0-RC1, < 5.9.115.0.1

4.0.0-RC14.17.5

弱点分类 (CWE)

CWE-470

时间线

已保留2026-03-11
发布日期2026-03-16
修改日期2026-04-02
EPSS 更新日期2026-03-24

披露后-26天发布补丁

缓解措施和替代方案

主要缓解措施是将 Craft CMS 更新到版本 4.17.5 或更高版本。此版本包含修复所有受影响组件中漏洞的完整修复。此外，请审查并限制 Craft 控制面板管理员权限，仅允许授权用户访问。如果不是绝对必要的，则禁用 allowAdminChanges 选项可以减少攻击面。监控服务器日志以查找可疑活动也是一种推荐的做法，可以检测和响应潜在的利用尝试。

修复方法翻译中…

Actualice Craft CMS a la versión 4.17.5 o superior, o a la versión 5.9.11 o superior. Esto solucionará la vulnerabilidad de inyección de comportamiento en ElementIndexesController y FieldsController. Asegúrese de tener permisos de administrador del panel de control de Craft y que allowAdminChanges esté habilitado para aplicar la actualización.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-32264 是什么 — craftcms/cms 中的 RCE？