Vulnérabilité critique XSS stockée découverte dans le panneau de contrôle de Statamic CMS

Le chercheur en sécurité cverports a divulgué, le 1ᵉʳ mars 2026, une vulnérabilité critique de type XSS stockée, identifiée sous le numéro CVE-2026-28426, dans le panneau de contrôle de Statamic CMS. Évaluée à 8,7 sur l’échelle CVSS v3.1, cette faille autorise les attaquants authentifiés dotés de privilèges limités — comme les auteurs ou les éditeurs — à injecter des charges malveillantes par le biais de fichiers SVG, d’embeds PDF et d’injections dans le moteur de templates Antlers. Ces charges se traduisent par l’exécution de JavaScript arbitraire dans le navigateur des administrateurs au moment de la consultation du contenu compromis. Statamic CMS est un système de gestion de contenu sans base de données, construit sur le framework PHP Laravel. Il repose sur le langage de templating Antlers, inspiré de Twig mais spécifiquement optimisé pour les architectures à fichiers plats, permettant le rendu dynamique des pages sans recours à une base de données relationnelle. La chaîne d’attaques à l’origine de cette vulnérabilité exploite une sanitisation insuffisante des actifs uploadés par les utilisateurs ainsi que des contextes d’évaluation excessivement permissifs dans Antlers. Cela conduit à une escalade de privilèges et à la possibilité de prise de contrôle des comptes administratifs. Le score EPSS de 0,025 % indique une probabilité d’exploitation modérée, mais la sévérité reste élevée pour les organisations utilisant des équipes aux rôles segmentés. Les versions impactées englobent Statamic 5.x antérieures à 5.73.11 ainsi que 6.x antérieures à 6.4.0. Les développeurs de Statamic ont déployé des correctifs comprenant l’introduction d’un indicateur isEvaluatingUserData destiné à sandboxer l’évaluation des données utilisateur dans Antlers, le remplacement de l’appel config()->all() par une liste blanche via Cascade::config(), et l’utilisation d’un rendu canvas pour les embeds PDF. Un proof-of-concept (POC) démontrant l’exploit est publiquement disponible, quoique cette vulnérabilité ne soit pas encore répertoriée dans le catalogue KEV des vulnérabilités exploitées connues. Afin de se prémunir contre cette menace, les administrateurs de sites sont vivement encouragés à procéder à la mise à jour vers les versions sécurisées 5.73.11 ou 6.4.0. Des mesures complémentaires s’imposent : activation d’en-têtes Content Security Policy (CSP) stricts, interdiction des téléversements de fichiers SVG, et restriction des permissions accordées aux rôles subalternes en matière...