CVE-2026-28695

Nome do Software Vulnerável e Versões Afetadas Versões 5.8.21 do Craft CMS Versões do Craft CMS anteriores à 4.17.0-beta.1 Versões do Craft CMS anteriores à 5.9.0-beta.1

Descrição O Craft CMS contém uma vulnerabilidade de Execução Remota de Código (RCE) autenticada. Isso ocorre através de Injeção de Template no Lado do Servidor (SSTI) utilizando a função Twig create() em conjunto com uma cadeia de gadgets do Symfony Process. A função Twig create() expõe Craft::createObject(), o que permite a instanciação de classes PHP arbitrárias com argumentos do construtor. Quando combinado com a dependência symfony/process, isso permite RCE. A vulnerabilidade contorna uma correção anterior para a CVE-2025-57811. A vulnerabilidade é acionada através do campo Formato do Título (Title Format) no painel de administração (Configurações → Tipos de Entrada). Um payload de prova de conceito envolve usar a função create() para instanciar um objeto SymfonyComponentProcessProcess e executar um comando via p.mustRun.getOutput(). A exploração bem-sucedida permite o comprometimento total do servidor, pois o código é executado com os privilégios do usuário do servidor web. A causa raiz é a capacidade de instanciar qualquer classe, incluindo SymfonyComponentProcessProcess, que então executa comandos de shell.

Recomendações Versões do Craft CMS anteriores à 4.17.0-beta.1 devem ser atualizadas para a versão 4.17.0-beta.1 ou posterior. Versões do Craft CMS anteriores à 5.9.0-beta.1 devem ser atualizadas para a versão 5.9.0-beta.1 ou posterior. Como solução temporária, considere bloquear classes perigosas em createObject() quando chamado a partir do Twig. Como solução temporária, considere remover ou restringir a função Twig create(). Como solução temporária, considere validar nomes de classes contra uma lista de permissões (allowlist).