# CVE-2025-6218 - Craft CMS SSTI com Execução Remota Pré-Autenticação > [!critical] CISA KEV - RCE Crítico Sem Autenticação > Vulnerabilidade crítica de Server-Side Template Injection (SSTI) no Craft CMS permite que atacantes não autenticados executem código arbitrário no servidor. Com CVSS 9.1 e exploração ativa confirmada pelo CISA, esta vulnerabilidade representa risco P1 para qualquer instância do Craft CMS exposta à internet. ## Visão Geral O Craft CMS é um sistema de gerenciamento de conteúdo amplamente adotado por agências digitais, empresas de mídia e e-commerce em todo o mundo, incluindo organizações na América Latina. A CVE-2025-6218 é uma vulnerabilidade de Server-Side Template Injection (SSTI) que permite que um atacante completamente não autenticado injete e execute código arbitrário no servidor através do mecanismo de templates Twig do Craft CMS. A gravidade desta vulnerabilidade é excepcional: a ausência de requisito de autenticação (PR:N) combinada com a possibilidade de execução remota de código (RCE completo) a classifica como risco crítico imediato. Após a públicação de um PoC público, a CISA adicionou a vulnerabilidade ao catálogo KEV, confirmando exploração em massa por grupos oportunistas e potencialmente por atores mais sofisticados. A exploração bem-sucedida permite ao atacante controle total do servidor: instalação de webshells, exfiltração de banco de dados (incluindo credenciais de usuários e chaves de API), pivô para redes internas e uso do servidor comprometido como ponto de distribuição de malware. Instâncias não corrigidas em provedores de hospedagem compartilhada representam risco adicional de comprometimento lateral. ## Produtos Afetados | Produto | Versões Vulneráveis | Versão Corrigida | |---------|--------------------|--------------------| | Craft CMS | < 5.7.8 | 5.7.8 | | Craft CMS (branch 4.x) | < 4.15.8 | 4.15.8 | ## Análise Técnica A falha reside no mecanismo de pré-visualização de templates e nas funções de renderização dinâmica de conteúdo do Craft CMS. O motor de templates Twig não sanitiza adequadamente entradas controladas pelo usuário em determinados endpoints acessíveis sem autenticação, permitindo a injeção de expressões Twig maliciosas que são executadas no contexto do servidor PHP. O padrão de ataque típico observado na exploração em campo segue esta cadeia: 1. **Reconhecimento** - Identificação de instâncias Craft CMS via Shodan/Censys (tags de meta-generator) 2. **Injeção** - Envio de payload SSTI para endpoint vulnerável 3. **Execução** - Execução de comandos shell via `{{['id']|map('system')|join}}` 4. **Persistência** - Drop de webshell PHP em diretório público 5. **Exfiltração** - Dump de banco de dados e arquivos `.env` com credenciais **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]], [[t1505-server-software-component|T1505.003 - Web Shell]], [[t1059-command-scripting-interpreter|T1059]], [[t1083-file-and-directory-discovery|T1083]] ## Contexto LATAM > [!latam] Impacto na América Latina > O Craft CMS é utilizado por agências de design, portais de notícias e plataformas de e-commerce em todo o Brasil e LATAM. Após a divulgação do PoC público, ferramentas de scanning automatizado como Nuclei receberam templates para detecção em massa, tornando toda instância vulnerável um alvo ativo independentemente do perfil do alvo. Provedores de hospedagem brasileiros com clientes utilizando Craft CMS devem priorizar a atualização emergêncial e verificar logs de acesso para indicadores de comprometimento já ocorrido. ## Mitigação 1. **Atualizar imediatamente** para Craft CMS 5.7.8 ou 4.15.8 conforme versão em uso 2. Se a atualização imediata não for possível, colocar o site em modo de manutenção e bloquear acesso externo até aplicação do patch 3. Verificar integridade dos arquivos do servidor (especialmente em `/web/`, `/templates/` e `/vendor/`) 4. Auditar logs do servidor web em busca de requisições POST incomuns para endpoints Craft CMS 5. Rotacionar todas as credenciais e chaves de API armazenadas no arquivo `.env` 6. Realizar varredura de webshells com ferramentas como `find / -name "*.php" -newer install_date` **Mitigação MITRE:** [[m1050-exploit-protection|M1050 - Exploit Protection]], [[m1018-user-account-management|M1018 - User Account Management]] ## Referências - [NVD - CVE-2025-6218](https://nvd.nist.gov/vuln/detail/CVE-2025-6218) - [CISA KEV](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Craft CMS Security](https://craftcms.com/knowledge-base/security-issues)