CVE-2026-28784

Nome do Software Vulnerável e Versões Afetadas Versões do Craft anteriores a 5.8.22 Versões do Craft anteriores a 4.16.18

Descrição O Craft, um sistema de gerenciamento de conteúdo (CMS), é suscetível à Execução Remota de Código (RCE) por meio de uma vulnerabilidade de Injeção de Modelo do Lado do Servidor (SSTI). Uma carga maliciosa pode ser criada utilizando o filtro map do Twig em campos de texto que aceitam entrada Twig. Isso é possível na seção Configurações do painel de controle do Craft ou por meio do utilitário Mensagens do Sistema. Para explorar com sucesso, o atacante deve ter acesso de administrador ao Painel de Controle do Craft com a configuração allowAdminChanges habilitada, ou uma conta não administradora com allowAdminChanges desabilitada, mas com acesso ao utilitário Mensagens do Sistema. A configuração allowAdminChanges controla se usuários não administradores podem modificar configurações dentro do painel de controle do Craft.

Recomendações Versões do Craft anteriores a 5.8.22 devem ser atualizadas para a versão 5.8.22. Versões do Craft anteriores a 4.16.18 devem ser atualizadas para a versão 4.16.18.