Aktívne zneužívané kritické zraniteľnosti v Craft CMS

Vývojári redakčného systému Craft CMS vydali bezpečnostné aktualizácie, ktoré opravujú dve aktívne zneužívané kritické zraniteľnosti. Kritické zraniteľnosti s označením CVE-2025-32432 a CVE-2024-58136 by vzdialený neautentifikovaný útočník mohol zneužiť na vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

• Craft CMS 5.X vo verziách starších ako 5.6.17
• Craft CMS 4.X vo verziách starších ako 4.14.15
• Craft CMS 3.X vo verziách starších ako 3.9.15

Opis zraniteľnosti:

CVE-2025-32432  (CVSS 3.1 skóre: 10,0)

Kritická zraniteľnosť sa nachádza v zabudovanej funkcionalite na transformáciu obrázkov a spočíva v nedostatočnom overovaní používateľských vstupov. Vzdialený neautentifikovaný útočník by ju zaslaním špeciálne vytvorených HTTP POST požiadaviek mohol zneužiť na vzdialené vykonanie kódu. Na úspešné zneužitie zraniteľnosti musí útočník disponovať platným tzv. Asset ID, ktoré slúži na identifikáciu dokumentov a médií v rámci redakčného systému. Platné Asset ID útočník môže získať zaslaním veľkého množstva požiadaviek POST.

CVE-2024-58136  (CVSS 3.1 skóre: 9,0)

Zraniteľnosť v PHP frameworku Yii 2 používanom v rámci Craft CMS súvisí s nesprávnym narábaním s obsahom premennej __class. Možno zneužiť na vzdialené vykonanie kódu.

Pozn.: Zraniteľnosti sú podľa Orange Cyberdefense SensePort aktívne zneužívané minimálne od 14. februára 2025.

Možné škody:

• Vzdialené vykonanie kódu
• Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame vykonať bezodkladnú aktualizáciu Craft CMS na verzie 5.6.17, 4.14.15, 3.9.15 alebo novšie.

Vývojári okrem aktualizácie odporúčajú preveriť prítomnosť pokusov o zneužitie zraniteľnosti v logoch Craft CMS (CRAFT_INSTALL_PATH/storage/logs/), webového servera, sieťových a bezpečnostných prvkov. V logoch je potrebné vyhľadať HTTP POST požiadavky na actions/assets/generate-transform, ktoré v tela obsahujú textový reťazec __class. Kompletný návod aj s popisom priebehu útoku a indikátormi kompromitácie (IOC) môžete nájsť na stránke vývojárov a Orange Cyberdefense SensePort.

V prípade detekcie pokusov o zneužitie zraniteľnosti je potrebné vykonať kontrolu integrity redakčného systému a databázy, zmenu prihlasovacích údajov (CMS, FTP, databázy, atď.) a kryptografického materiálu (SSH kľúče, certifikáty, atď.).

Zdroje:

• https://craftcms.com/knowledge-base/craft-cms-cve-2025-32432
• https://nvd.nist.gov/vuln/detail/CVE-2024-58136
• https://nvd.nist.gov/vuln/detail/CVE-2025-32432
• https://sensepost.com/blog/2025/investigating-an-in-the-wild-campaign-using-rce-in-craftcms/
• https://thehackernews.com/2025/04/hackers-exploit-critical-craft-cms.html