Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Уязвимости Craft CMS угрожают безопасности

2 мин
изображение: recraft Эксперты заметили, что злоумышленники начали активно использовать две новые критические уязвимости в Craft CMS для проведения атак нулевого дня, нацеленных на взлом серверов и получение доступа без разрешения владельцев ресурсов. По информации специалистов Orange Cyberdefense SensePost, которые первыми обнаружили эти атаки 14 февраля 2025 года, злоумышленники применяют целую цепочку уязвимостей. Первая из них — CVE-2024-58136 с оценкой CVSS 9,0. Проблема связана с неправильной обработкой альтернативных путей во фреймворке Yii PHP, который лежит в основе Craft CMS. Этот сбой способен открыть доступ к функциям или данным, которые должны быть ограничены. Уязвимость, как отмечают специалисты, возникла вследствие регрессии в исправлении CVE-2024-4990. Вторая проблема — CVE-2025-32432 с оценкой CVSS 10,0 — связана с возможностью удалённого выполнения кода на сервере. Уязвимость уже устранена в версиях Craft CMS 3.9.15, 4.14.15 и 5.6.17. По данным Orange Cyberdefense Sens

изображение: recraft

Эксперты заметили, что злоумышленники начали активно использовать две новые критические уязвимости в Craft CMS для проведения атак нулевого дня, нацеленных на взлом серверов и получение доступа без разрешения владельцев ресурсов.

По информации специалистов Orange Cyberdefense SensePost, которые первыми обнаружили эти атаки 14 февраля 2025 года, злоумышленники применяют целую цепочку уязвимостей. Первая из них — CVE-2024-58136 с оценкой CVSS 9,0. Проблема связана с неправильной обработкой альтернативных путей во фреймворке Yii PHP, который лежит в основе Craft CMS. Этот сбой способен открыть доступ к функциям или данным, которые должны быть ограничены. Уязвимость, как отмечают специалисты, возникла вследствие регрессии в исправлении CVE-2024-4990.

Вторая проблема — CVE-2025-32432 с оценкой CVSS 10,0 — связана с возможностью удалённого выполнения кода на сервере. Уязвимость уже устранена в версиях Craft CMS 3.9.15, 4.14.15 и 5.6.17.

По данным Orange Cyberdefense SensePost, корень уязвимости CVE-2025-32432 заложен во встроенной функции обработки изображений. Эта функция позволяет администраторам сайтов сохранять изображения в заданных форматах.

Исследователь в области информационной безопасности Николя Буррас пояснил, что уязвимость строится на том, что сервер неправильно обрабатывает запросы POST от неаутентифицированных пользователей на конечную точку, отвечающую за преобразование изображений. В результате переданные данные могут быть восприняты сервером и обработаны без должной проверки.

Николя Буррас также обратил внимание на различия в реализации обработки идентификаторов активов между разными версиями Craft CMS. В версиях 3.x идентификатор проверяется до начала преобразования, в то время как в версиях 4.x и 5.x проверка проводится уже после создания объекта. Это означает, что злоумышленникам необходимо отыскать действительный идентификатор актива для успешной эксплуатации уязвимости в любой из указанных версий.

Отдельно подчёркивается, что в системе Craft CMS под идентификатором актива понимается способ управления файлами документов и медиаобъектов, при котором каждому элементу присваивается уникальный идентификатор для отслеживания и контроля доступа.

Оригинал публикации на сайте CISOCLUB: "Хакеры используют критические уязвимости Craft CMS; сотни серверов, вероятно, скомпрометированы".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Гаджеты и электроника
5,73 млн интересуются