CVE-2026-28697
CriticalSummary
Craft to system zarządzania treścią (CMS). Przed wersjami 4.17.0-beta.1 i 5.9.0-beta.1, uwierzytelniony administrator mógł osiągnąć zdalne wykonanie kodu (RCE) poprzez wstrzyknięcie ładunku SSTI do pól szablonów Twig, co pozwalało na zapisanie złośliwego skryptu PHP w katalogu dostępnym przez sieć.
Risk Assessment
Ta podatność stwarza poważne ryzyko dla organizacji, umożliwiając atakującym wykonywanie dowolnych poleceń systemowych na serwerze, co może prowadzić do utraty danych lub przejęcia kontroli nad systemem.
Recommendation
Zaleca się aktualizację do wersji 4.17.0-beta.1 lub 5.9.0-beta.1, aby usunąć tę podatność oraz przeprowadzenie audytu bezpieczeństwa w celu zidentyfikowania potencjalnych zagrożeń.
Original NVD description (English source)
Craft is a content management system (CMS). Prior to 4.17.0-beta.1 and 5.9.0-beta.1, an authenticated administrator can achieve Remote Code Execution (RCE) by injecting a Server-Side Template Injection (SSTI) payload into Twig template fields (e.g., Email Templates). By calling the craft.app.fs.write() method, an attacker can write a malicious PHP script to a web-accessible directory and subsequently access it via the browser to execute arbitrary system commands. This vulnerability is fixed in 4.17.0-beta.1 and 5.9.0-beta.1.

