Vulnerabilidad en Craft (CVE-2026-28784)
Gravedad CVSS v4.0:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
04/03/2026
Última modificación:
05/03/2026
Descripción
Craft es un sistema de gestión de contenidos (CMS). Antes de las versiones 5.8.22 y 4.16.18, es posible crear una carga útil maliciosa utilizando el filtro map de Twig en campos de texto que aceptan entrada Twig en Ajustes en el panel de control de Craft o utilizando la utilidad Mensajes del Sistema, lo que podría conducir a una RCE. Para que esto funcione, debe tener acceso de administrador al Panel de Control de Craft, y allowAdminChanges debe estar habilitado para que esto funcione, lo cual va en contra de nuestras recomendaciones para cualquier entorno que no sea de desarrollo. Alternativamente, puede tener una cuenta no administradora con allowAdminChanges deshabilitado, pero tener acceso a la utilidad Mensajes del Sistema. Los usuarios deben actualizar a las versiones parcheadas (5.8.22 y 4.16.18) para mitigar el problema.
Impacto
Puntuación base 4.0
8.60
Gravedad 4.0
ALTA
Puntuación base 3.x
7.20
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:craftcms:craft_cms:*:*:*:*:*:*:*:* | 4.0.0 (excluyendo) | 4.17.0 (excluyendo) |
| cpe:2.3:a:craftcms:craft_cms:*:*:*:*:*:*:*:* | 5.0.0 (excluyendo) | 5.9.0 (excluyendo) |
| cpe:2.3:a:craftcms:craft_cms:4.0.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:craftcms:craft_cms:4.0.0:rc1:*:*:*:*:*:* | ||
| cpe:2.3:a:craftcms:craft_cms:4.0.0:rc2:*:*:*:*:*:* | ||
| cpe:2.3:a:craftcms:craft_cms:4.0.0:rc3:*:*:*:*:*:* | ||
| cpe:2.3:a:craftcms:craft_cms:5.0.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:craftcms:craft_cms:5.0.0:rc1:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página