Katalog CVE

CVE-2026-56382

WysokieCVSS 7.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.49%

Percentyl 38 - wyżej niż 38% wszystkich znanych CVE

Streszczenie

Craft CMS w wersjach od 5.5.0 do 5.9.13 zawiera podatność na zdalne wykonanie kodu w metodzie FieldsController::actionRenderCardPreview(). Umożliwia to uwierzytelnionemu użytkownikowi adminowi wstrzyknięcie handlerów zdarzeń Yii2, co prowadzi do wykonania dowolnego kodu PHP i ujawnienia wrażliwych informacji.

Ocena ryzyka

Podatność ta może prowadzić do ujawnienia poufnych danych, takich jak dane uwierzytelniające do bazy danych oraz klucz CRAFT_SECURITY_KEY, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację Craft CMS do wersji 5.9.14 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

Craft CMS (composer package craftcms/cms) versions >= 5.5.0 and <= 5.9.13 contain a remote code execution vulnerability in the FieldsController::actionRenderCardPreview() method, which passes the fieldLayoutConfig POST parameter directly to Fields::createLayout() without calling Component::cleanseConfig(). An authenticated admin user can inject Yii2 event handlers (e.g., 'on init' keys) via the fieldLayoutConfig parameter to execute arbitrary PHP code and disclose sensitive information (such as environment variables containing database credentials and CRAFT_SECURITY_KEY). The issue is fixed in version 5.9.14.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS