Сотни сайтов скомпрометированы через уязвимость нулевого дня в Craft CMS
Согласно информации от Orange Cyberdefense, злоумышленники эксплуатируют две недавно обнаруженные критические бреши в системе управления контентом Craft CMS для компрометации серверов и получения неавторизованного доступа к ним.
По данным исследователей, первые признаки эксплуатации этих уязвимостей были зафиксированы еще 14 февраля 2025 года. Атакующие используют последовательную цепочку уязвимостей для осуществления взломов.
CVE-2024-58136 (оценка 9.0 по шкале CVSS) – недостаточная защита альтернативного пути в PHP-фреймворке Yii, который является частью Craft CMS. Эта уязвимость позволяет обходить ограничения доступа к внутренним функциям или ресурсам (является вариантом CVE-2024-4990).
CVE-2025-32432 (максимальная оценка 10.0 по шкале CVSS) – представляет собой возможность удаленного исполнения кода (RCE) в Craft CMS (устранена в версиях 3.9.15, 4.14.15 и 5.6.17).
В компании отмечают, что CVE-2025-32432 связана с интегрированной функцией преобразования изображений, позволяющей администраторам веб-сайтов сохранять изображения в нужном формате.
Согласно анализу, CVE-2025-32432 эксплуатируется путем отправки POST-запроса неавторизованным пользователем на эндпоинт, обрабатывающий преобразование изображений. Сервер ошибочно интерпретирует данные, содержащиеся в этом POST-запросе. Специалисты поясняют, что уязвимость возникает в процессе создания объекта преобразования, когда входящие данные подвергаются ненадлежащей обработке.
Данная брешь в безопасности затрагивает системы управления контентом Craft CMS версий 3.x, 4.x и 5.x. Для успешной эксплуатации уязвимости злоумышленнику необходимо располагать корректным идентификатором ресурса (asset ID), соответствующим целевой версии CMS.
Злоумышленники, осуществляющие кампанию, выявленную специалистами, инициируют большое количество POST-запросов в попытке обнаружить валидный asset ID. После успешного обнаружения, запускается Python-скрипт, который проверяет сервер на наличие уязвимости. В случае подтверждения уязвимости, скрипт загружает PHP-файл с GitHub-репозитория на скомпрометированный сервер.
Согласно данным на 18 апреля 2025 года, эксперты идентифицировали примерно 13 000 уязвимых инсталляций Craft CMS, из которых около 300 уже подверглись компрометации.
Скомпрометированные экземпляры Craft CMS по странам
«Если вы проверили журналы брандмауэра или веб-сервера и обнаружили там подозрительные POST-запросы к конечной точке action/assets/generate-transform (в частности со строкой __class), это означает, что ваш сайт, как минимум, проверяли на наличие этой уязвимости. Это не является подтверждением взлома, но сайт прощупывали», — предупредили в Orange Cyberdefense.
Источник — https://xakep.ru/
About The Author
