Impatto Sistemico

Critico (79.23)

Sintesi

Rilasciati aggiornamenti di sicurezza che risolvono diverse nuove vulnerabilità in Craft CMS, di cui una con gravità “critica” e due con gravità “alta”. Per la CVE-2026-32267 risulta disponibile un PoC in rete.

Tipologia

• Remote Code Execution
• Privilege Escalation

Descrizione e potenziali impatti

Rilasciati aggiornamenti di sicurezza che risolvono diverse nuove vulnerabilità in Craft CMS, tra cui una per la quale è disponibile un Proof of Concept (PoC).

Nel dettaglio, la CVE-2026-32267 – di tipo “ Incorrect Authorization ” e con score CVSS v4.0 pari a 9.2 – è causata da una errata gestione del flusso di autorizzazione all’interno del metodo UsersController->actionImpersonateWithToken() , che accetta qualsiasi token precedentemente risolto dal sistema di anteprima, senza verificarne:

• lo scopo originario,
• la destinazione d’uso,
• l’associazione all’azione di impersonificazione,
• l’idoneità a sbloccare una funzione privilegiata.

In altri termini, il sistema tratta un semplice “preview token” – progettato esclusivamente per abilitare la visualizzazione temporanea di contenuti – come se fosse un token autorizzativo valido per l’impersonificazione di un utente. Un utente malintenzionato con bassi privilegi, in possesso di un preview token valido, può sfruttare tale vulnerabilità tramite opportuna manipolazione dell’URL associato alla funzione di anteprima, ed effettuare login come qualsiasi utente (incluso utenti admin).

Prodotti e/o versioni affette

Craft CMS

• 4.x.x, versione 4.17.5 e precedenti
• 5.x.x, versione 5.9.11 e precedenti

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni dei bollettini di sicurezza disponibili nella sezione Riferimenti.

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “critica” e “alta”: