CVE-2026-28783

Nome do Software Vulnerável e Versões Afetadas Versões do Craft anteriores a 5.9.0 Versões do Craft anteriores a 4.17.0

Descrição O Craft é um sistema de gerenciamento de conteúdo (CMS). O sistema utiliza uma lista de bloqueio para evitar que funções PHP potencialmente perigosas sejam chamadas por meio de funções seta não Closure do Twig. Várias funções PHP não foram incluídas nessa lista de bloqueio, o que potencialmente permite que atores maliciosos com as permissões necessárias executem cargas maliciosas, incluindo execução remota de código (RCE), leitura arbitrária de arquivos, falsificação de solicitação do lado do servidor (SSRF) e injeção de template do lado do servidor (SSTI). Para explorar com sucesso, um atacante precisa ter allowAdminChanges habilitado em produção, uma conta de administrador comprometida ou uma conta com acesso ao utilitário System Messages. O Twig descontinuou o comportamento que permitia isso e ele será removido completamente do Twig no futuro.

Recomendações Versões anteriores a 5.9.0 devem ser atualizadas para a versão 5.9.0. Versões anteriores a 4.17.0 devem ser atualizadas para a versão 4.17.0 e a configuração enableTwigSandbox deve ser habilitada.