Según los investigadores de seguridad de Certrange CyberDefense, una vulnerabilidad crítica de ejecución de código remoto (RCE) en CMS de artesanía se ha explotado activamente para robar datos al violar los servidores.
La vulnerabilidad rastreada como CVE-2025-32432 y asignó una puntuación CVSS máxima de 10.0 afecta a CMS en todas las versiones anteriores a 3.9.15, 4.14.15 y 5.6.17.
CMS RCE 0 días Vulnerabilidad
Los investigadores de seguridad han descubierto que los atacantes están verificando dos vulnerabilidades en ataques sofisticados de día cero. La primera vulnerabilidad (CVE-2025-32432) permite que un atacante envíe solicitudes especialmente creadas que contienen el parámetro “URL de retorno” almacenado en un archivo de sesión de PHP.
La segunda vulnerabilidad explota un defecto en el marco YII (CVE-2024-58136) explotado por CMS CMS, lo que permite a los atacantes ejecutar el código PHP malicioso en sus servidores.
La vulnerabilidad se informó por primera vez el 7 de abril de 2025 cuando CMS CMS recibió información sobre defectos relacionados con el marco YII que se solucionaron en YII 2.0.52, publicado el 9 de abril.
Después de verificar la vulnerabilidad, Craft CMS lanzó una versión de parche el 10 de abril utilizando una solución a nivel de aplicación. Para el 17 de abril, se reveló la evidencia de explotación salvaje activa, instando a CMS CMS a enviar un correo electrónico a todos los licenciatarios que podrían verse afectados.
Según Orange CyberDefense, los atacantes están utilizando esta cadena de exploit para instalar un administrador de archivos basado en PHP en un servidor comprometido, cargar puertas posteriores adicionales y eliminar datos confidenciales.
Los usuarios deben consultar los registros para obtener solicitudes de publicación sospechosas en el punto final “Acción/Asset/Generated Transform”, que contiene la cadena del cuerpo “__class”. Esto indica una exploración potencial para esta vulnerabilidad.
Para mitigar el riesgo, los usuarios deben actualizar a una versión parcheada de inmediato. Para aquellos que no pueden actualizar, le recomendamos que bloquee las cargas útiles sospechosas a nivel de firewall o instale la biblioteca de parches de seguridad CMS CMS como una solución temporal.
Si se cree que el sistema está comprometido, los administradores deben actualizar la clave de seguridad utilizando las teclas de configuración/seguridad de PHP Craft, rotar la clave privada almacenada como variables de entorno, rotar las credenciales de la base de datos y forzar reinicios de contraseña para todos los usuarios.
Craft Cloud ha configurado el firewall global para bloquear las solicitudes maliciosas que se dirigen a esta exploit, pero se alienta a los usuarios a actualizar una versión parcheada.
Esta es la segunda vulnerabilidad principal que afecta a CMS CMS después de CVE-2025-23209 en febrero de 2025, seguido de CVE-2025-23209.
¿Eres de los equipos SOC y DFIR? – Analice los incidentes de malware y comience cualquiera.run-> gratis.
