Impatto Sistemico

Critico (75.89)

Sintesi

Disponibili Proof of Concept (PoC) per le vulnerabilità CVE-2026-44010 e CVE-2026-44011 – già sanate dal vendor – presenti in Craft CMS. Tali vulnerabilità, qualora sfruttate, potrebbe consentire ad un utente malintenzionato remoto di eseguire codice arbitrario o di accedere ad informazioni sensibili sui sistemi interessati.

Tipologia

• Remote Code Execution
• Information Disclosure

Descrizione e potenziali impatti

Disponibili Proof of Concept (PoC) per le vulnerabilità CVE-2026-44010 e CVE-2026-44011 – già sanate dal vendor – presenti in Craft CMS.

Nel dettaglio, la prima vulnerabilità, identificata tramite la CVE-2026-44010 , di tipo “Missing Authorization” e con score CVSS v4.0 pari a 7.1, è dovuta all’assenza di adeguati controlli di autorizzazione basati sugli scope nel resolver GraphQL dell’elemento Address . Un utente malintenzionato remoto in possesso di un token GraphQL valido, anche limitato ad un singolo gruppo utenti, potrebbe accedere ad informazioni sensibili sui sistemi interessati.

La seconda vulnerabilità identificata tramite CVE-2026-44011 , di tipo “ Authenticated Remote Code Execution ” e con score CVSS v4.0 pari a 8.6, è causata da una gestione non sicura della configurazione dinamica degli oggetti Yii durante il processo di inizializzazione dei FieldLayout in Craft CMS. In particolare, dati controllati dall’utente vengono convertiti in oggetti applicativi senza adeguati controlli di sanitizzazione. Un utente malintenzionato remoto autenticato, tramite l’invio di richieste HTTP opportunamente predisposte, potrebbe iniettare configurazioni malevole al fine di ottenere l’esecuzione di codice arbitrario sui sistemi target.

Prodotti e/o versioni affette

Craft CMS

• 5.x.x, versioni precedenti alla 5.9.18
• 4.x.x, versioni precedenti alla 4.17.12

Azioni di mitigazione

Si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni dei bollettini di sicurezza disponibili nella sezione Riferimenti.