Craft is a platform for creating digital experiences. In versions 4.0.0-RC1 through 4.16.17 and 5.0.0-RC1 through 5.8.21, a Remote Code Execution (RCE) vulnerability exists in Craft CMS where the assembleLayoutFromPost() function in src/services/Fields.php fails to sanitize user-supplied configuration data before passing it to Craft::createObject(). This allows authenticated administrators to inject malicious Yii2 behavior configurations that execute arbitrary system commands on the server. This vulnerability represents an unpatched variant of the behavior injection vulnerability addressed in CVE-2025-68455, affecting different endpoints through a separate code path. This vulnerability is fixed in 5.8.22.
Craft CMS versions 4.0.0-RC1 through 4.16.17 and 5.0.0-RC1 through 5.8.21 contain a Remote Code Execution vulnerability in the assembleLayoutFromPost() function that allows authenticated administrators to inject malicious Yii2 behavior configurations. The vulnerability stems from insufficient sanitization of user-supplied configuration data before object instantiation, enabling arbitrary system command execution on affected servers.
تحتوي ثغرة CVE-2026-25498 على عيب في معالجة البيانات المرسلة من قبل المسؤولين في وظيفة assembleLayoutFromPost() حيث لا يتم تنظيف بيانات التكوين بشكل صحيح قبل تمريرها إلى Craft::createObject(). يمكن للمهاجمين المصرح لهم استغلال هذا لحقن سلوكيات Yii2 ضارة تؤدي إلى تنفيذ أوامر نظام عشوائية. هذه الثغرة هي متغير غير مصحح من ثغرة حقن السلوك التي تم معالجتها في CVE-2025-68455 ولكن عبر مسار كود منفصل.
منصة Craft CMS الإصدارات من 4.0.0-RC1 إلى 4.16.17 و5.0.0-RC1 إلى 5.8.21 تحتوي على ثغرة تنفيذ أكواد بعيدة في دالة assembleLayoutFromPost() تسمح للمسؤولين المصرح لهم بحقن تكوينات سلوك Yii2 ضارة. تنشأ الثغرة من عدم كفاية تنظيف بيانات التكوين المزودة من قبل المستخدم قبل إنشاء الكائن، مما يتيح تنفيذ أوامر نظام عشوائية على الخوادم المتأثرة.
Upgrade Craft CMS to version 5.8.22 or later immediately. For versions 4.x, apply available security patches or migrate to version 5.8.22+. Implement strict input validation and sanitization for all configuration data. Restrict administrative access to trusted personnel only. Monitor server logs for suspicious behavior injection attempts and unauthorized command execution.
قم بترقية Craft CMS إلى الإصدار 5.8.22 أو أحدث فوراً. بالنسبة للإصدارات 4.x، طبق التصحيحات الأمنية المتاحة أو قم بالترقية إلى الإصدار 5.8.22 فما فوق. طبق التحقق الصارم من صحة المدخلات وتنظيفها لجميع بيانات التكوين. قيد الوصول الإداري للموظفين الموثوقين فقط. راقب سجلات الخادم للكشف عن محاولات حقن السلوك المريبة وتنفيذ الأوامر غير المصرح به.