الثغرات ›

CVE-2025-68454

مرتفع ⚡ اختراق متاح

ثغرة تنفيذ التعليمات البرمجية عن بُعد في Craft CMS عبر حقن قوالب Twig

CWE-1336 — نوع الضعف

                    نُشر: Jan 5, 2026                      ·  آخر تحديث: Feb 28, 2026                      ·  المصدر: NVD                

CVSS v3

8.8

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Craft is a platform for creating digital experiences. Versions 5.0.0-RC1 through 5.8.20 and 4.0.0-RC1 through 4.16.16 are vulnerable to potential authenticated Remote Code Execution via Twig SSTI. For this to work, users must have administrator access to the Craft Control Panel, and allowAdminChanges must be enabled, which is against Craft CMS' recommendations for any non-dev environment. Alternatively, a non-administrator account with allowAdminChanges disabled can be used, provided access to the System Messages utility is available. It is possible to craft a malicious payload using the Twig `map` filter in text fields that accept Twig input under Settings in the Craft control panel or using the System Messages utility, which could lead to a RCE. Users should update to the patched versions (5.8.21 and 4.16.17) to mitigate the issue.

🤖 ملخص AI

Craft CMS versions 5.0.0-RC1 through 5.8.20 and 4.0.0-RC1 through 4.16.16 are vulnerable to authenticated Remote Code Execution through Twig Server-Side Template Injection (SSTI) via the map filter. The vulnerability requires administrator access with allowAdminChanges enabled or access to the System Messages utility, allowing attackers to execute arbitrary code on affected servers.

📄 الوصف (العربية)

تؤثر هذه الثغرة على منصة Craft CMS المستخدمة لإنشاء التجارب الرقمية، حيث يمكن للمهاجمين المصرحين بهم استغلال مرشح Twig map لحقن كود ضار. يتطلب الاستغلال إما وصول المسؤول مع تفعيل allowAdminChanges أو الوصول إلى أداة System Messages في لوحة التحكم.

🤖 ملخص تنفيذي (AI)

منصة Craft CMS الإصدارات من 5.0.0-RC1 إلى 5.8.20 و 4.0.0-RC1 إلى 4.16.16 عرضة لثغرة تنفيذ كود بعيد مصرح به عبر حقن قوالب Twig من جانب الخادم. تتطلب الثغرة وصول المسؤول مع تفعيل allowAdminChanges أو الوصول إلى أداة System Messages، مما يسمح للمهاجمين بتنفيذ كود عشوائي على الخوادم المتأثرة.

🤖 التحليل الذكي آخر تحليل: May 1, 2026 10:16

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

telecom government healthcare

🎯 تقنيات MITRE ATT&CK

T1190 T1059 T1203 T1598 T1199

⚖️ درجة المخاطر السعودية (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Update Craft CMS to version 5.8.21 or 4.16.17 immediately. Disable allowAdminChanges in production environments unless absolutely necessary. Restrict access to the System Messages utility to trusted administrators only. Implement strict access controls for the Craft Control Panel and monitor for suspicious template modifications.

🔧 خطوات المعالجة (العربية)

قم بتحديث Craft CMS إلى الإصدار 5.8.21 أو 4.16.17 فوراً. عطّل allowAdminChanges في بيئات الإنتاج ما لم يكن ضرورياً تماماً. قيّد الوصول إلى أداة System Messages للمسؤولين الموثوقين فقط. طبّق ضوابط وصول صارمة على لوحة التحكم في Craft ومراقبة التعديلات المريبة على القوالب.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.7.1.1 A.7.1.2 A.7.2.1 A.7.2.2 A.7.3.1

🔵 SAMA CSF

ID.AM-2 PR.AC-1 PR.AC-3 PR.AC-4 PR.IP-1

🟡 ISO 27001:2022

A.6.1.1 A.6.1.2 A.7.1.1 A.7.1.2 A.7.2.1 A.7.3.1 A.9.1.1 A.9.2.1 A.9.4.1

🔗 المراجع والمصادر 3

🔗

https://github.com/craftcms/cms/blob/5.x/CHANGELOG.md#5821---2025-12-04

security-advisories@github.com

Product Release Notes

🔗

https://github.com/craftcms/cms/commit/d82680f4a05f9576883bb83c3f6243d33ca73ebe

security-advisories@github.com

Patch

🔗

https://github.com/craftcms/cms/security/advisories/GHSA-742x-x762-7383

security-advisories@github.com

Exploit Vendor Advisory

📦 المنتجات المتأثرة 8 منتج

craftcms:craft_cms

craftcms:craft_cms:4.0.0

craftcms:craft_cms:5.0.0

📊 CVSS Score

8.8

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score8.8

CWECWE-1336

EPSS0.43%

اختراق متاح ✓ نعم

تصحيح متاح ✓ نعم

تاريخ النشر 2026-01-05

المصدر nvd

المشاهدات 6

🇸🇦 درجة المخاطر السعودية

8.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

exploit-available patch-available CWE-1336

🏢 توجيهات البائع

🔗 https://github.com/craftcms/cms/security/advisories/...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2025-68454

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب