CVE-2026-25498

Nome do Software Vulnerável e Versões Afetadas Versões 4.0.0-RC1 a 4.16.17 do Craft CMS Versões 5.0.0-RC1 a 5.8.21 do Craft CMS

Descrição Há uma vulnerabilidade de Execução Remota de Código (RCE) no Craft CMS na qual a função assembleLayoutFromPost() em src/services/Fields.php não sanitiza adequadamente os dados de configuração fornecidos pelo usuário antes de passá-los para Craft::createObject(). Isso permite que administradores autenticados injetem configurações maliciosas de comportamento do Yii2, potencialmente executando comandos de sistema arbitrários no servidor. Trata-se de uma variante não corrigida de um problema de injeção de comportamento anteriormente abordado em um conjunto diferente de endpoints. A vulnerabilidade está localizada na função assembleLayoutFromPost(), especificamente nas linhas 1125-1143 do arquivo src/services/Fields.php, devido à falta da chamada a cleanseConfig() no parâmetro POST fieldLayout. O ataque envolve injetar um comportamento usando a chave 'as rce' no parâmetro POST JSON fieldLayout, o que dispara a execução de comandos quando o modelo é validado. A vulnerabilidade afeta vários controladores de administrador, incluindo TagsController, CategoriesController, EntryTypesController, GlobalsController, VolumesController, UsersController e AddressesController.

Recomendações As versões 4.0.0-RC1 a 4.16.17 do Craft CMS devem ser atualizadas para a versão 5.8.22 ou posterior. As versões 5.0.0-RC1 a 5.8.21 do Craft CMS devem ser atualizadas para a versão 5.8.22 ou posterior.