Craft is a platform for creating digital experiences. Versions 5.0.0-RC1 through 5.8.20 and 4.0.0-RC1 through 4.16.16 are vulnerable to potential authenticated Remote Code Execution via Twig SSTI. For this to work, users must have administrator access to the Craft Control Panel, and allowAdminChanges must be enabled, which is against Craft CMS' recommendations for any non-dev environment. Alternatively, a non-administrator account with allowAdminChanges disabled can be used, provided access to the System Messages utility is available. It is possible to craft a malicious payload using the Twig `map` filter in text fields that accept Twig input under Settings in the Craft control panel or using the System Messages utility, which could lead to a RCE. Users should update to the patched versions (5.8.21 and 4.16.17) to mitigate the issue.
Craft CMS versions 4.0.0-RC1 through 4.16.16 and 5.0.0-RC1 through 5.8.20 contain a critical Server-Side Template Injection (SSTI) vulnerability allowing authenticated administrators to execute arbitrary code. Exploitation requires administrator access with allowAdminChanges enabled or access to System Messages utility, enabling attackers to inject malicious Twig payloads through control panel text fields. Active exploits exist and patches are available.
تؤثر هذه الثغرة الأمنية على نظام إدارة المحتوى Craft CMS حيث يمكن للمهاجمين ذوي الصلاحيات الإدارية استغلال ثغرة حقن قوالب Twig من جانب الخادم لتنفيذ تعليمات برمجية عشوائية على الخادم. يتم الاستغلال عبر استخدام فلتر map في Twig ضمن حقول النصوص التي تقبل مدخلات Twig في إعدادات لوحة التحكم أو أداة رسائل النظام. تصنف الثغرة بدرجة خطورة عالية (8.8) وتستهدف بيئات التطوير التي لم يتم تطبيق التوصيات الأمنية عليها. يجب على المؤسسات تحديث النظام فوراً إلى الإصدارات المصححة لمنع الاستغلال المحتمل.
تحتوي إصدارات Craft CMS من 4.0.0-RC1 حتى 4.16.16 ومن 5.0.0-RC1 حتى 5.8.20 على ثغرة حقن قوالب من جانب الخادم (SSTI) حرجة تسمح للمسؤولين المصادق عليهم بتنفيذ تعليمات برمجية عشوائية. يتطلب الاستغلال صلاحيات المسؤول مع تفعيل allowAdminChanges أو الوصول إلى أداة رسائل النظام، مما يمكّن المهاجمين من حقن أوامر Twig الضارة عبر حقول النصوص في لوحة التحكم. توجد استغلالات نشطة وتحديثات أمنية متاحة.
1. Immediately update Craft CMS to version 4.16.17 or later for version 4.x installations, or version 5.8.21 or later for version 5.x installations to patch the SSTI vulnerability.
2. Disable allowAdminChanges setting in production environments as recommended by Craft CMS security best practices, and restrict access to System Messages utility to only essential personnel with documented business justification.
3. Conduct comprehensive security audit of all administrator accounts, implement multi-factor authentication (MFA) for all privileged accounts, review audit logs for suspicious Twig template modifications, and monitor for indicators of compromise including unexpected system processes or file modifications.
1. تحديث Craft CMS فوراً إلى الإصدار 4.16.17 أو أحدث للإصدارات 4.x، أو الإصدار 5.8.21 أو أحدث للإصدارات 5.x لإصلاح ثغرة حقن القوالب من جانب الخادم.
2. تعطيل إعداد allowAdminChanges في بيئات الإنتاج وفقاً لأفضل الممارسات الأمنية لـ Craft CMS، وتقييد الوصول إلى أداة رسائل النظام للموظفين الأساسيين فقط مع توثيق المبررات التجارية.
3. إجراء مراجعة أمنية شاملة لجميع حسابات المسؤولين، وتطبيق المصادقة متعددة العوامل (MFA) لجميع الحسابات ذات الصلاحيات العالية، ومراجعة سجلات التدقيق للكشف عن تعديلات مشبوهة في قوالب Twig، ومراقبة مؤشرات الاختراق بما في ذلك العمليات غير المتوقعة أو تعديلات الملفات.