# CVE-2023-41892 > [!critical] CVSS 10.0 - RCE crítico no Craft CMS via Template Injection > Vulnerabilidade de injeção de template server-side no Craft CMS permite execução remota de código sem autenticação. Com CVSS máximo de 10.0 e EPSS no percentil 99, é uma das vulnerabilidades mais exploradas em ambientes web em 2023-2024. ## Visão Geral A [[cve-2023-41892|CVE-2023-41892]] é uma vulnerabilidade crítica de Server-Side Template Injection (SSTI) no Craft CMS, com pontuação CVSS máxima de 10.0. A falha permite que qualquer atacante remoto, sem necessidade de autenticação, execute comandos arbitrários no servidor através da injeção de templates maliciosos no motor Twig. Craft CMS é amplamente utilizado por agências de desenvolvimento web e empresas de médio porte para gerenciamento de conteúdo. A combinação de CVSS máximo, exploit público amplamente disponível e alto EPSS (percentil 99) faz desta CVE um dos alvos mais ativos em varreduras automatizadas da internet - qualquer instância exposta sem patch tem altíssima probabilidade de comprometimento. No contexto brasileiro e latinoamericano, onde muitos sites corporativos e governamentais são gerenciados por agências que utilizam Craft CMS sem processo rigoroso de atualização, esta vulnerabilidade representa risco ativo de defacement, exfiltração de dados e implantação de webshells. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | **CVSS** | 10.0 (Critical - máximo) | | **Tipo** | Server-Side Template Injection (SSTI) | | **Autenticação** | Não requerida | | **Motor** | Twig template engine | | **Versões afetadas** | Craft CMS < 4.4.15, < 3.8.15 | | **Patch** | 4.4.15 / 3.8.15 (20 set 2023) | ## Mecanismo de Exploração O ataque explora o endpoint de upload de imagem do Craft CMS, onde parâmetros PHP são injetados no template Twig: 1. Requisição POST maliciosa para endpoint de imagem 2. Injeção de expressão Twig no campo de transformação 3. O servidor Twig executa a expressão como código PHP 4. Acesso shell ao sistema com privilégios do servidor web **TTPs relacionados:** [[t1190-exploit-public-facing-application|T1190]] · [[t1505-003-web-shell|T1505.003]] · [[t1059-004-unix-shell|T1059.004]] · [[t1005-data-from-local-system|T1005]] ## Detecção e Defesa **Mitigação imediata:** - Atualizar Craft CMS para 4.4.15 ou 3.8.15 imediatamente - Auditar logs web por requisições POST ao endpoint de imagem com parâmetros PHP - Verificar presença de webshells em diretórios públicos do servidor **Detecção em logs:** - Buscar `{%` ou `{{` em parâmetros de requisições HTTP - Alertar em respostas HTTP 500 seguidas de comandos shell no sistema **Mitigações MITRE:** [[m1051-update-software|M1051]] · [[m1029-remote-data-storage|M1029]] · [[m1050-exploit-protection|M1050]] > [!latam] Relevância LATAM > Agências de desenvolvimento web no Brasil, Argentina e México frequentemente mantêm sites de clientes em Craft CMS sem processos automatizados de patch. Varreduras automatizadas identificam e exploram instâncias vulneráveis em minutos após públicação de PoC - toda instância sem patch deve ser considerada comprometida. ## Referências - [Craft CMS Security Advisory](https://craftcms.com/kb/security-advisories/CVE-2023-41892) - [PWNKIT PoC Analysis](https://github.com/Faelian/CraftCMS_CVE-2023-41892) - [BleepingComputer - Craft CMS RCE](https://www.bleepingcomputer.com/news/security/craft-cms-critical-rce-flaw-exploited-in-attacks/)