CVE-2026-56382
WysokieCVSS 7.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 38 - wyżej niż 38% wszystkich znanych CVE
Streszczenie
Craft CMS w wersjach od 5.5.0 do 5.9.13 zawiera podatność na zdalne wykonanie kodu w metodzie FieldsController::actionRenderCardPreview(). Umożliwia to uwierzytelnionemu użytkownikowi adminowi wstrzyknięcie handlerów zdarzeń Yii2, co prowadzi do wykonania dowolnego kodu PHP i ujawnienia wrażliwych informacji.
Ocena ryzyka
Podatność ta może prowadzić do ujawnienia poufnych danych, takich jak dane uwierzytelniające do bazy danych oraz klucz CRAFT_SECURITY_KEY, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację Craft CMS do wersji 5.9.14 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
Craft CMS (composer package craftcms/cms) versions >= 5.5.0 and <= 5.9.13 contain a remote code execution vulnerability in the FieldsController::actionRenderCardPreview() method, which passes the fieldLayoutConfig POST parameter directly to Fields::createLayout() without calling Component::cleanseConfig(). An authenticated admin user can inject Yii2 event handlers (e.g., 'on init' keys) via the fieldLayoutConfig parameter to execute arbitrary PHP code and disclose sensitive information (such as environment variables containing database credentials and CRAFT_SECURITY_KEY). The issue is fixed in version 5.9.14.

