Andreisss

**Nome do Software Vulnerável e Versões Afetadas** Versões 5.8.21 do Craft CMS Versões do Craft CMS anteriores à 4.17.0-beta.1 Versões do Craft CMS anteriores à 5.9.0-beta.1 **Descrição** O Craft CMS contém uma vulnerabilidade de Execução Remota de Código (RCE) autenticada. Isso ocorre através de Injeção de Template no Lado do Servidor (SSTI) utilizando a função Twig `create()` em conjunto com uma cadeia de gadgets do Symfony Process. A função Twig `create()` expõe `Craft::createObject()`, o que permite a instanciação de classes PHP arbitrárias com argumentos do construtor. Quando combinado com a dependência `symfony/process`, isso permite RCE. A vulnerabilidade contorna uma correção anterior para a CVE-2025-57811. A vulnerabilidade é acionada através do campo Formato do Título (Title Format) no painel de administração (Configurações → Tipos de Entrada). Um payload de prova de conceito envolve usar a função `create()` para instanciar um objeto `SymfonyComponentProcessProcess` e executar um comando via `p.mustRun.getOutput()`. A exploração bem-sucedida permite o comprometimento total do servidor, pois o código é executado com os privilégios do usuário do servidor web. A causa raiz é a capacidade de instanciar qualquer classe, incluindo `SymfonyComponentProcessProcess`, que então executa comandos de shell. **Recomendações** Versões do Craft CMS anteriores à 4.17.0-beta.1 devem ser atualizadas para a versão 4.17.0-beta.1 ou posterior. Versões do Craft CMS anteriores à 5.9.0-beta.1 devem ser atualizadas para a versão 5.9.0-beta.1 ou posterior. Como solução temporária, considere bloquear classes perigosas em `createObject()` quando chamado a partir do Twig. Como solução temporária, considere remover ou restringir a função Twig `create()`. Como solução temporária, considere validar nomes de classes contra uma lista de permissões (allowlist).