Vulnerabilidad en cms de craftcms (CVE-2026-32264)
Gravedad CVSS v4.0:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
16/03/2026
Última modificación:
17/03/2026
Descripción
Craft CMS es un sistema de gestión de contenido (CMS). Desde la versión 4.0.0-RC1 hasta antes de la versión 4.17.5 y desde la versión 5.0.0-RC1 hasta antes de la versión 5.9.11, existe una vulnerabilidad de RCE por inyección de comportamiento en ElementIndexesController y FieldsController. Los permisos de administrador del panel de control de Craft y allowAdminChanges deben estar habilitados para que esto funcione. Este problema ha sido parcheado en las versiones 4.17.5 y 5.9.11.
Impacto
Puntuación base 4.0
8.60
Gravedad 4.0
ALTA
Puntuación base 3.x
7.20
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:craftcms:craft_cms:*:*:*:*:*:*:*:* | 4.0.0.1 (incluyendo) | 4.17.5 (excluyendo) |
| cpe:2.3:a:craftcms:craft_cms:*:*:*:*:*:*:*:* | 5.0.1 (incluyendo) | 5.9.11 (excluyendo) |
| cpe:2.3:a:craftcms:craft_cms:4.0.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:craftcms:craft_cms:4.0.0:rc1:*:*:*:*:*:* | ||
| cpe:2.3:a:craftcms:craft_cms:4.0.0:rc2:*:*:*:*:*:* | ||
| cpe:2.3:a:craftcms:craft_cms:4.0.0:rc3:*:*:*:*:*:* | ||
| cpe:2.3:a:craftcms:craft_cms:5.0.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:craftcms:craft_cms:5.0.0:rc1:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/craftcms/cms/commit/78d181e12e0b15e1300f54ec85f19859d3300f70
- https://github.com/craftcms/cms/commit/dfec46362fcb40b330ce8a4d8136446e65085620
- https://github.com/craftcms/cms/security/advisories/GHSA-4484-8v2f-5748
- https://github.com/craftcms/cms/security/advisories/GHSA-7jx7-3846-m7w7