Craft Cms
Уязвимости
103
Эксплуатируемые
4
Макс. CVSS
10
Макс. EPSS
0.99734
Распределение по критичности
Критический
9
Высокий
35
Средний
55
Низкий
4
Затронутые диапазоны версий
2.0.2524–2.7.103.0.0–3.7.323.0.0–3.8.153.0.0–3.8.33.0.0–3.8.63.0.0–3.9.153.0.0–3.9.63.4.0–3.7.143.5.1–4.16.194.0.0-rc1–4.13.24.0.0.1–4.17.54.0.0.1–4.17.64.0.0–4.12.24.0.0–4.17.04.0.0–4.17.124.0.0–4.17.44.0.0–4.17.84.0.0–4.4.64.0.1–4.4.74.1.0–4.14.134.1.0–4.16.64.13.8–4.16.34.15.3–4.17.34.3.0–4.4.6
Также сопоставлено как (исходные строки): craft_cms,craftercms
Топ уязвимостей
CVE-2025-32432Craft CMS уязвим к выполнению произвольного кода в версиях от 3.0.0-RC1 до 3.9.14, от 4.0.0-RC1 до 4.14.14 и от 5.0.0-RC1 до 5.6.16. Это атака с высоким воздействием и низкой сложностью.
Для устранения проблемы рекомендуется обновить Craft CMS до версий 3.9.15, 4.14.15 или 5.6.17.
Источники:
- [1] https://github.com/craftcms/cms/security/advisories/GHSA-f3gw-9ww9-jmc3
- [2] https://github.com/craftcms/cms/commit/e1c85441fa47eeb7c688c2053f25419bc0547b47
- [3] https://github.com/craftcms/cms/blob/3.x/CHANGELOG.md#3915---2025-04-10-critical
- [4] https://github.com/craftcms/cms/blob/4.x/CHANGELOG.md#41415---2025-04-10-critical
- [5] https://github.com/craftcms/cms/blob/5.x/CHANGELOG.md#5617---2025-04-10-critical
CVE-2024-37843В Craft CMS до v3.7.31 была обнаружена уязвимость SQL-инъекции через конечную точку GraphQL API.
CVE-2023-41892Craft CMS — это платформа для создания цифровых опытов. Это вектор атаки с высоким воздействием и низкой сложностью. Пользователи, запускающие установки Craft до 4.4.15, настоятельно рекомендуется обновиться как минимум до этой версии для смягчения проблемы. Эта проблема была исправлена в Craft CMS 4.4.15.
CVE-2021-27903Проблема обнаружена в Craft CMS до 3.6.7. В некоторых обстоятельствах существовала потенциальная уязвимость удаленного выполнения кода на сайтах, которые не ограничивали административные изменения (если злоумышленнику каким-то образом удалось перехватить сеанс администратора).
CVE-2020-9757Компонент SEOmatic до версии 3.3.0 для Craft CMS допускает внедрение шаблонов на стороне сервера, что приводит к RCE через неправильно сформированные данные в контроллер metacontainers.
CVE-2019-15929В Craft CMS до версии 3.1.7 запрос пароля для повышения прав сеанса не ограничивался по скорости, как обычные формы входа, что приводило к возможности попытки грубой силы на них.
CVE-2026-28783Craft - это система управления контентом (CMS). До 5.9.0-бета.1 и 4.17.0-beta.1 Craft CMS реализует блок-лист, чтобы предотвратить вызов потенциально опасных функций PHP через функции стрелок, не связанных с закрытыми Twig. Чтобы иметь возможность успешно выполнить эту атаку, вам нужно либо включить разрешение AdminCanges на производстве, либо скомпрометированную учетную запись администратора, либо учетную запись с доступом к утилите системных сообщений. Несколько функций PHP не включены в блоклист, что может позволить злоумышленникам с необходимыми разрешениями выполнять различные типы полезных нагрузок, включая RCE, произвольные чтения файлов, SSRF и SSTI. Эта уязвимость фиксируется в пункте 5.9.0-бета.1 и 4,17.0-бета.1.
CVE-2026-28697Craft - это система управления контентом (CMS). До 4.17.0-бета.1 и 5.9.0-бета.1 аутентифицированный администратор может достичь Удаленной реализации кода (RCE) путем введения полезной нагрузки шаблона на стороне сервера (SSTI) в поля шаблонов Twig (например, шаблоны электронной почты). Позвонив по методу craft.app.fs.write() злоумышленник может записать вредоносный PHP-скрипт в веб-доступный каталог и впоследствии получить к нему доступ через браузер для выполнения произвольных системных команд. Эта уязвимость зафиксирована в 4.17.0-бета.1 и 5.9.0-бета.1.
CVE-2024-56145Craft — это гибкая, удобная CMS для создания пользовательских цифровых体验 в Интернете и за его пределами. Пользователи затронутых версий подвержены этой уязвимости, если их конфигурация php.ini имеет включенный параметр `register_argc_argv`. Для этих пользователей присутствует неуточненный вектор удаленного выполнения кода. Пользователям рекомендуется обновиться до версий 3.9.14, 4.13.2 или 5.5.2. Пользователям, которые не могут обновиться, следует отключить `register_argc_argv`, чтобы смягчить проблему [1].
Источники:
- [1] https://github.com/craftcms/cms/security/advisories/GHSA-2p6p-9rc9-62j9
- [2] https://github.com/craftcms/cms/commit/82e893fb794d30563da296bca31379c0df0079b3
CVE-2024-21622Craft — это система управления контентом. Это потенциальная уязвимость повышения привилегий средней степени воздействия и низкой сложности в Craft, начиная с версии 3.x до 3.9.6 и 4.x до 4.4.16, с определенными настройками разрешений пользователей. Эта проблема была исправлена в Craft 4.4.16 и Craft 3.9.6. Пользователям следует убедиться, что они используют как минимум эти версии.
CVE-2023-30130Проблема, обнаруженная в CraftCMS v.3.8.1, позволяет удаленному злоумышленнику выполнить произвольный код через специально созданный скрипт для параметра Section.
CVE-2022-29933Craft CMS до версии 3.7.36 позволяет удаленному неаутентифицированному злоумышленнику, который знает хотя бы одно допустимое имя пользователя, сбросить пароль учетной записи и захватить ее, предоставив специально созданный HTTP-заголовок приложению при использовании функции сброса пароля. В частности, злоумышленник должен отправить X-Forwarded-Host на URI /index.php?p=admin/actions/users/send-password-reset-email. ПРИМЕЧАНИЕ: позиция поставщика заключается в том, что клиент уже может обойти это, изменив конфигурацию (то есть не используя конфигурацию по умолчанию).
CVE-2021-41824Craft CMS до версии 3.7.14 допускает внедрение CSV.
CVE-2018-3814Craft CMS 2.6.3000 позволяет удаленным злоумышленникам выполнять произвольный PHP-код, используя экран "Assets->Upload files", а затем опцию "Replace it", поскольку это позволяет файлу .jpg содержать встроенный PHP-код, а затем переименовываться в расширение .php.
CVE-2026-31858Craft - это система управления контентом (CMS). ElementSearchController::actionSearch() конечная точка отсутствует защита от установки (), которая была добавлена в ElementIndexesController в CVE-2026-25495. Точно такая же уязвимость инъекций SQL (включая критерии [orderBy], оригинальный консультативный вектор) работает на этом контроллере, потому что исправление никогда не применялось к нему. Любой аутентифицированный пользователь панели управления (не требуется админ) может вводить произвольный SQL с помощью критериев [где], критериев [orderBy] или других свойств запроса и извлекать полное содержимое базы данных с помощью слепой инъекции на основе буля. Пользователи должны обновить исправленный релиз 5.9.9, чтобы смягчить проблему.
CVE-2026-28696Craft - это система управления контентом (CMS). До 4.17.0-beta.1 и 5.9.0-beta.1 директива GraphQL @parseRefs, предназначенная для разбора внутренних эталонных меток (например, {user:1:email}), может быть злоупотреблена как аутентифицированными пользователями, так и неаутентифицированными гостями (если включена общедоступная схема) для доступа к чувствительным атрибутам любого элемента в CMS. Реализация в Elements::parseRefs не выполняет проверки авторизации, что позволяет злоумышленникам считывать данные, которые они не уполномочены просматривать. Эта уязвимость зафиксирована в 4.17.0-бета.1 и 5.9.0-бета.1.
CVE-2026-25495Craft - это платформа для создания цифрового опыта. В версиях ремесла 4.0.0-RC1 - 4.16.17 и 5.0.0-RC1 до 5.8.21, конекторная точка элемента-индексы/погвозные элементы уязвима для SQL-инъекции по параметру критериев [orderBy] (корпуса JSON). Приложение не может санировать этот ввод перед использованием в запросе базы данных. Злоумышленник с доступом к панели управления может вводить произвольный SQL в пункт ORDER BY, опуская viewState[order] (или настраивая оба на одну и ту же полезную нагрузку). Этот выпуск исправлен в версиях 4.16.18 и 5.8.22.
CVE-2026-44011Craft CMS - это система управления контентом (CMS). С 4.0.0 до 4.17.12 и 5.9.18 Craft CMS, который содержит недостаток обработки ввода в пути создания объекта Yii, который позволяет любому аутентифицированному пользователю вводить вредоносную конфигурацию и выполнять произвольные команды на сервере. Данные поля с контролируемым запросом преобразуются в живой объект FieldLayout без границы компонента:cleanseConfig(). Поскольку Craft настраивает модели до parent::__construct(), специальные конфигурационные ключи, управляемые злоумышленником, могут вступить в силу во время создания объекта, а инициализация FieldLayout запускает событие с тем же запросом. Эта уязвимость зафиксирована в 4.17.12 и 5.9.18.
CVE-2026-33157Craft CMS - это система управления контентом (CMS). От версии 5.6.0 до версии 5.9.13, в Craft CMS существует уязвимость Remote Code Execution (RCE), она может быть использована любым аутентифицированным пользователем с доступом к панели управления. Это обход предыдущего исправления. Существующие патчи добавляют CleanseConfig() для сборкиLeayouTromPost() и различных действий FieldsController для удаления клавиш с инъекционными ключами от поведения Yii2 («как» и «включены» префиксированные клавиши). Тем не менее, параметр FieldLaouts в ElementIndexesController::actionFilterHud() передается непосредственно в FieldLayout::createFromConfig() без какой-либо дезинфекции, что позволяет приводить в действие ту же цепочку инъекций. Этот вопрос исправлен в версии 5.9.13.
CVE-2026-32264Craft CMS - это система управления контентом (CMS). От версии 4.0.0-RC1 до версии 4.17.5 и от версии 5.0.0-RC1 до версии 5.9.11, существует уязвимость RCE с инъекцией поведения в ElementIndexesController и FieldsController. Для этого должны быть включены разрешения администратора панели управления ремесел и разрешениеAdminChades. Эта проблема была исправлена в версиях 4.17.5 и 5.9.11.
CVE-2026-32263Craft CMS - это система управления контентом (CMS). От версии 5.6.0 до версии 5.9.11, в src/controllers/EntryTypesController.php, массив $settings от parse_str передается непосредственно в Craft::configure() без компонента:cleanseConfig(). Это позволяет вводить Yii2 обработчиков поведения/событий через префиксированные клавиши «как» или «включено», тот же вектор атаки, что и оригинальный рекомендательное. Для этого должны быть включены разрешения администратора панели управления ремесел и разрешениеAdminChades. Эта проблема была исправлена в версии 5.9.11.
CVE-2026-28784Craft - это система управления контентом (CMS). До 5.8.22 и 4.16.18 можно создать вредоносную полезную нагрузку, используя фильтр карты Twig в текстовых полях, которые принимают ввод Twig в разделе «Настройки» в панели управления Craft или с помощью утилиты «Системные сообщения», что может привести к RCE. Чтобы это работало, вы должны иметь доступ администратора к панели управления ремесленными аппаратами, и для этого должен быть включен смены администратора, что противоречит нашим рекомендациям для любой среды, не относящихся к методам. Кроме того, вы можете иметь учетную запись, не являющуюся администратором, с отключенным разрешением Администратора, но у вас есть доступ к утилите системных сообщений. Пользователи должны обновить исправленные версии (5.8.22 и 4.16.18), чтобы смягчить проблему.
CVE-2026-25498Craft - это платформа для создания цифрового опыта. В версиях 4.0.0-RC1 - 4.16.17 и 5.0.0-RC1 до 5.8.21 в Craft CMS существует уязвимость Remote Code Execution (RCE), где функция сборкиLayoutFromPost() в src/services/Fields.php не может продезинфицировать данные конфигурации, поставляемые пользователем, прежде чем передать их в Craft:creat. Это позволяет аутентифицированным администраторам вводить вредоносные конфигурации поведения Yii2, которые выполняют произвольные системные команды на сервере. Эта уязвимость представляет собой непатентованный вариант уязвимости инъекций поведения, рассматриваемой в CVE-2025-68455, затрагивающий различные конечные точки через отдельный путь кода. Эта уязвимость зафиксирована в пункте 5.8.22.
CVE-2026-25497Craft - это платформа для создания цифрового опыта. В версиях Craft от 4.0.0-RC1 до 4.17.0-beta.1 и 5.9.0-beta.1 в API Craft CMS GraphQL есть уязвимость привилегий, которая позволяет аутентифицированному пользователю с доступом к одному объему активов увеличивать свои привилегии и изменять/передавать активы, принадлежащие любому другому объему, включая ограниченные или частные тома, к которым они не должны иметь доступа. Мутация сейв-Asset GraphQL подтверждает разрешение на объем, разрешенный схемой, но забирает целевой актив по ID, не проверяя, что актив принадлежит к разрешенному объему. Это позволяет несанкционированную модификацию и передачу активов кросс-объема. Эта уязвимость фиксируется в 4.17.0-бета.1 и 5.9.0-бета.1.
CVE-2025-68455Craft - это платформа для создания цифрового опыта. Версии 5.0.0-RC1 - 5.8.20 и 4.0.0-RC1 до 4.16.16 уязвимы для потенциального аутентифицированного Исполнения с помощью вредоносного поведения. Обратите внимание, что злоумышленники должны иметь доступ администратора к панели управления ремесленниками, чтобы это работало. Пользователи должны обновить исправленные версии (5.8.21 и 4.16.17), чтобы смягчить проблему.