Dreigingsacteurs zijn waargenomen om twee nieuw bekendgemaakte kritische beveiligingsfouten in Craft CMS te benutten in nul-daagse aanvallen om servers te overtreden en ongeautoriseerde toegang te krijgen.
De aanvallen, voor het eerst waargenomen door Orange Cyberdefense SensePost op 14 februari 2025, omvatten het katten van de onderliggende kwetsbaarheden –
- CVE-2024-58136 (CVSS-score: 9.0)-Een onjuiste bescherming van alternatieve padfout in het YII PHP-framework dat wordt gebruikt door Craft CMS dat kan worden benut om toegang te krijgen tot beperkte functionaliteit of bronnen (een regressie van CVE-2014-4990)
- CVE-2025-32432 (CVSS -score: 10.0) – Een externe code -uitvoering (RCE) kwetsbaarheid in Craft CMS (gepatcht in versies 3.9.15, 4.14.15 en 5.6.17)
Volgens het Cybersecurity Company bevindt CVE-2025-32432 zich in een ingebouwde beeldtransformatie-functie waarmee sitebeheerders afbeeldingen naar een bepaald formaat kunnen houden.
“CVE-2025-32432 vertrouwt op het feit dat een niet-geauthenticeerde gebruiker een postverzoek zou kunnen verzenden naar het eindpunt dat verantwoordelijk is voor de beeldtransformatie en de gegevens in het bericht zouden worden geïnterpreteerd door de server,” zei beveiligingsonderzoeker Nicolas Bourras.
“In versies 3.x van Craft CMS wordt de activa -ID gecontroleerd vóór het creëren van het transformatieobject, terwijl in versies 4.x en 5.x de activa -ID daarna wordt gecontroleerd. Dus, voor de exploit om te functioneren met elke versie van Craft CMS, moet de dreigingsacteur een geldig activa -id vinden.”
De activa -ID verwijst in de context van Craft CMS naar de manier waarop documentbestanden en media worden beheerd, waarbij elke activa een unieke ID krijgt.
De dreigingsacteurs achter de campagne zijn gevonden om meerdere postverzoeken uit te voeren totdat een geldige activa -ID is ontdekt, waarna een Python -script wordt uitgevoerd om te bepalen of de server kwetsbaar is, en zo ja, download een PHP -bestand op de server van een Github -repository.
“Tussen 10 en 11 februari verbeterde de dreigingsacteur hun scripts door de download van FileManager.php meerdere keren naar de webserver te testen met een Python -script,” zei de onderzoeker. “De bestand FileManager.php werd op 12 februari omgedoopt tot autoload_classmap.php en werd voor het eerst gebruikt op 14 februari.”
Vanaf 18 april 2025 zijn naar schatting 13.000 kwetsbare ambachtelijke CMS -instanties geïdentificeerd, waarvan bijna 300 naar verluidt zijn aangetast.
“Als u uw firewall-logboeken of webserverlogboeken controleert en verdachte postverzoeken vindt aan de acties/activa/Generate-transform Craft Controller Endpoint, specifiek met de string __class in het lichaam, dan is uw site op zijn minst gescand op deze kwetsbaarheid,” zei Craft CMS in een advies. “Dit is geen bevestiging dat uw site is aangetast; deze is alleen onderzocht.”
Als er aanwijzingen zijn voor een compromis, wordt gebruikers geadviseerd om beveiligingssleutels te vernieuwen, database -referenties te roteren, gebruikerswachtwoorden te resetten uit een overvloed aan voorzichtigheid en kwaadaardige verzoeken op het firewallniveau blokkeren.
De openbaarmaking komt als een actieve! Mail Zero-Day Stack-gebaseerde bufferoverloop Kwetsbaarheid (CVE-2025-42599, CVSS-score: 9.8) is onder actieve uitbuiting gekomen in cyberaanvallen op organisaties in Japan om externe code-uitvoering te bereiken. Het is opgelost in versie 6.60.06008562.
“Als een externe derden een vervaardigd verzoek verzendt, kan het mogelijk zijn om willekeurige code uit te voeren of een Denial-of-Service (DOS) te veroorzaken,” zei Qualitia in een bulletin.
