CVE-2026-28697
KrytyczneStreszczenie
Craft to system zarządzania treścią (CMS). Przed wersjami 4.17.0-beta.1 i 5.9.0-beta.1, uwierzytelniony administrator mógł osiągnąć zdalne wykonanie kodu (RCE) poprzez wstrzyknięcie ładunku SSTI do pól szablonów Twig, co pozwalało na zapisanie złośliwego skryptu PHP w katalogu dostępnym przez sieć.
Ocena ryzyka
Ta podatność stwarza poważne ryzyko dla organizacji, umożliwiając atakującym wykonywanie dowolnych poleceń systemowych na serwerze, co może prowadzić do utraty danych lub przejęcia kontroli nad systemem.
Rekomendacja
Zaleca się aktualizację do wersji 4.17.0-beta.1 lub 5.9.0-beta.1, aby usunąć tę podatność oraz przeprowadzenie audytu bezpieczeństwa w celu zidentyfikowania potencjalnych zagrożeń.
Oryginalny opis (angielski, źródło NVD)
Craft is a content management system (CMS). Prior to 4.17.0-beta.1 and 5.9.0-beta.1, an authenticated administrator can achieve Remote Code Execution (RCE) by injecting a Server-Side Template Injection (SSTI) payload into Twig template fields (e.g., Email Templates). By calling the craft.app.fs.write() method, an attacker can write a malicious PHP script to a web-accessible directory and subsequently access it via the browser to execute arbitrary system commands. This vulnerability is fixed in 4.17.0-beta.1 and 5.9.0-beta.1.

