Back arrowRetour aux ressources
Craft icon Craft
Vulnérabilités de sécurité Craft CMS 5.x : Appliquez le correctif CVE-2026 maintenant

Vulnérabilités de sécurité Craft CMS 5.x : Appliquez le correctif CVE-2026 maintenant

Sam Rollin
Sam Rollin
February 14, 2026
Dernière mise à jour : February 21, 2026
February 14, 2026

Trois nouvelles vulnérabilités de sécurité ont été divulguées pour Craft CMS, affectant les branches 4.x et 5.x. Publiées dans la National Vulnerability Database au début de février 2026, ces CVE comprennent deux problèmes de falsification de requête côté serveur (SSRF) et une vulnérabilité d'injection SQL. Si vous utilisez Craft CMS, voici ce que vous devez savoir et les actions à prendre.

Contexte : Un autre cycle de correctifs de sécurité pour Craft

Craft CMS a connu une année chargée en matière de sécurité. Suite aux vulnérabilités critiques divulguées en 2024 et 2025, incluant CVE-2025-32432 (une RCE critique avec un score CVSS de 10.0), l'équipe de sécurité de Craft a continué à corriger les problèmes signalés par les chercheurs. Ces vulnérabilités de sécurité Craft CMS soulignent l'importance de rester à jour avec les mises à jour.

Les trois nouveaux CVE ont été publiés entre le 9 et le 10 février 2026. Tous partagent la même solution : mettre à jour vers la version 5.8.22 (ou 4.16.18 pour les utilisateurs de Craft 4). La mise à jour de sécurité Craft CMS de février 2026 corrige les trois problèmes simultanément.

Analyse des trois vulnérabilités

CVE-2026-25493 : Contournement SSRF via redirections

Sévérité : CVSS v4 6.9 (Moyen)
Composant : Mutation GraphQL saveAsset

Craft valide le nom d'hôte et l'IP de l'URL initiale contre une liste de blocage lors du traitement des téléversements d'actifs. Le problème est que Guzzle, le client HTTP sous-jacent, suit les redirections par défaut. Un attaquant peut créer une URL qui passe la validation initiale, puis redirige vers des cibles internes comme les services de métadonnées infonuagiques.

C'est important parce que les attaques SSRF contre les points de terminaison de métadonnées infonuagiques peuvent exposer des identifiants et des jetons de service. Le correctif CVE-2026-25493 est inclus dans la dernière version.

CVE-2026-25494 : Contournement de liste de blocage SSRF via notations IP alternatives

Sévérité : En cours d'analyse (pas encore de score CVSS)
Composant : Mutation GraphQL saveAsset

Craft utilise filter_var() avec FILTER_VALIDATE_IP pour bloquer certaines IP. Des représentations alternatives comme la notation hexadécimale ou mixte peuvent contourner ces vérifications, donnant aux attaquants un autre chemin vers les ressources internes. Cette vulnérabilité SSRF Craft CMS affecte la gestion des actifs GraphQL.

CVE-2026-25495 : Injection SQL dans les index d'éléments

Sévérité : CVSS v4 8.7 (Élevé)
Composant : Point de terminaison du panneau de contrôle element-indexes/get-elements

Un paramètre JSON criteria[orderBy] n'est pas correctement assaini avant d'être utilisé dans une clause ORDER BY d'une requête de base de données. L'exploitation nécessite un accès au panneau de contrôle, ce qui limite la surface d'attaque mais représente tout de même une menace si un attaquant compromet un compte administrateur. Le correctif d'injection SQL Craft CMS résout ce problème critique.

Versions affectées

Craft 5.x : Plage vulnérable 5.0.0-RC1 à 5.8.21, Version corrigée 5.8.22

Craft 4.x : Plage vulnérable 4.0.0-RC1 à 4.16.17, Version corrigée 4.16.18

Impact sur votre installation Craft

Le risque réel dépend grandement de votre configuration spécifique.

Les deux vulnérabilités SSRF ciblent l'API GraphQL, spécifiquement la mutation saveAsset. Si vous n'exposez pas GraphQL publiquement, ou si vous avez restreint les permissions pour les mutations d'actifs, votre exposition est limitée. Les installations Craft hébergées dans le nuage font face à un risque plus élevé puisque les attaques SSRF peuvent atteindre les services de métadonnées et exposer des jetons sensibles. La sécurité GraphQL de Craft CMS devrait être une priorité pour toutes les installations.

Notre expérience démontre que plusieurs équipes activent GraphQL durant le développement et oublient de le sécuriser pour la production. Ça vaut la peine d'auditer les permissions de votre schéma GraphQL en même temps que cette mise à jour.

La vulnérabilité d'injection SQL nécessite un accès authentifié au panneau de contrôle. Bien que cela réduise la surface d'attaque, ça représente tout de même une menace dans les environnements avec des utilisateurs CP non fiables ou des identifiants administrateurs faibles. La sécurité du panneau de contrôle Craft CMS demeure essentielle.

Aucune exploitation active n'a été signalée pour ces CVE spécifiques en date de mi-février 2026, et aucun code de preuve de concept public n'a fait surface. Mais étant donné la rapidité avec laquelle les attaquants exploitent les vulnérabilités Craft (CVE-2025-32432 a vu une exploitation active peu après sa divulgation), attendre n'est pas conseillé.

Ce que vous devriez faire

La solution est simple : mettez à jour Craft CMS vers la version 5.8.22 (ou 4.16.18 pour la branche 4.x). Cette seule mise à jour corrige les trois CVE. La mise à jour Craft CMS 5.8.22 est la voie recommandée.

Nous suggérons habituellement de traiter ceci comme une mise à jour prioritaire plutôt que de la regrouper avec votre prochaine version de fonctionnalités. Les correctifs de sécurité méritent leur propre cycle de déploiement.

Avant la mise à jour

  • Sauvegardez votre base de données et vos fichiers
  • Testez la mise à jour dans un environnement de préproduction
  • Consultez le journal des modifications pour tout changement majeur
  • Planifiez une fenêtre de maintenance pour la production

Après la mise à jour

  • Vérifiez votre version de Craft dans le panneau de contrôle
  • Révisez les permissions de votre schéma GraphQL
  • Vérifiez que les mutations d'actifs sont correctement restreintes
  • Si vous êtes sur une infrastructure infonuagique, considérez implémenter des contrôles de service de métadonnées (comme IMDSv2 sur AWS)

Opportunité de consolidation

Pour les équipes gérant plusieurs installations Craft, la version 5.8.22 est un bon point de consolidation. Elle inclut également des correctifs pour CVE-2026-25498 (une RCE authentifiée) et corrige des problèmes du précédent CVE-2025-68437.

Résumé

Trois vulnérabilités de sécurité dans Craft CMS ont été publiées en février 2026, allant de sévérité Moyenne à Élevée. Les composants affectés, les mutations d'actifs GraphQL et un point de terminaison du panneau de contrôle, varient en exposition selon votre configuration. Une seule mise à jour vers la version 5.8.22 (ou 4.16.18) les résout toutes. L'application rapide de ce correctif de vulnérabilité Craft CMS est fortement recommandée.

Nous avons constaté que les mises à jour de sécurité se passent mieux quand elles sont planifiées plutôt que précipitées. Si vous gérez des installations Craft CMS et avez besoin d'aide pour évaluer votre exposition à ces vulnérabilités, ou souhaitez du soutien pour planifier et tester la mise à jour, notre équipe peut vous accompagner dans le processus et vérifier votre configuration GraphQL par la suite.

Share this article