CVE-2026-28697

Nome do Software Vulnerável e Versões Afetadas Versões do Craft CMS anteriores a 4.17.0-beta.1 e 5.9.0-beta.1

Descrição O Craft é um sistema de gerenciamento de conteúdo (CMS). Um administrador autenticado pode alcançar Execução Remota de Código (RCE) ao injetar um payload de Injeção de Template do Lado do Servidor (SSTI) em campos de template Twig, como Modelos de E-mail. Ao chamar o método craft.app.fs.write(), um invasor pode escrever um script PHP malicioso em um diretório acessível na web e, posteriormente, acessá-lo por meio de um navegador para executar comandos de sistema arbitrários. A vulnerabilidade também permite a divulgação de informações sensíveis, incluindo credenciais de banco de dados e a chave de segurança, por meio do acesso às propriedades de craft.app.

Recomendações Atualize o Craft CMS para a versão 4.17.0-beta.1 ou posterior. Atualize o Craft CMS para a versão 5.9.0-beta.1 ou posterior.