Tehdit aktörlerinin, sunucuları ihlal etmek ve yetkisiz erişim elde etmek için sıfır gün saldırılarında Craft CMS’de yeni açıklanan iki kritik güvenlik kusurundan yararlandığı gözlemlenmiştir.
İlk olarak 14 Şubat 2025’te Turuncu CyberDense Sensepost tarafından gözlemlenen saldırılar, aşağıdaki güvenlik açıklarını zincirlemeyi içeriyor –
- CVE-2024-58136 (CVSS Skoru: 9.0)-Craft CMS tarafından kısıtlı işlevselliğe veya kaynaklara erişmek için kullanılabilecek YII PHP çerçevesinde alternatif yol kusurunun uygunsuz bir şekilde korunması (CVE-2024-4990 regresyonu)
- CVE-2025-32432 (CVSS Puanı: 10.0) – Craft CMS’de bir uzaktan kod yürütme (RCE) güvenlik açığı (sürümlerde yamalı 3.9.15, 4.14.15 ve 5.6.17)
Siber güvenlik şirketine göre, CVE-2025-32432, site yöneticilerinin görüntüleri belirli bir formatta tutmasını sağlayan yerleşik bir görüntü dönüşüm özelliğinde bulunuyor.
Güvenlik araştırmacısı Nicolas Bourras, “CVE-2025-32432, kimlik doğrulanmamış bir kullanıcının görüntü dönüşümünden sorumlu son noktaya bir posta isteği gönderebileceği ve yazıdaki verilerin sunucu tarafından yorumlanacağı gerçeğine dayanıyor.” Dedi.
“Craft CMS’nin 3.x sürümlerinde, varlık kimliği dönüşüm nesnesinin oluşturulmasından önce kontrol edilirken, 4.x ve 5.x sürümlerinde varlık kimliği daha sonra kontrol edilir. Bu nedenle, istismarın CRAP CMS’nin her sürümüyle çalışması için, tehdit aktörünün geçerli bir varlık kimliği bulması gerekir.”
Varlık kimliği, CRAP CMS bağlamında, belge dosyalarının ve medyanın yönetilme şeklini ifade eder ve her varlık benzersiz bir kimlik verilir.
Kampanyanın arkasındaki tehdit aktörlerinin, geçerli bir varlık kimliği keşfedilinceye kadar birden fazla posta isteği çalıştırdığı bulundu, daha sonra sunucunun savunmasız olup olmadığını belirlemek için bir Python komut dosyası yürütüldü ve eğer öyleyse, sunucudan bir GitHub deposundan bir PHP dosyasını indirdi.
Araştırmacı, “10 ve 11 Şubat arasında, tehdit oyuncusu FilEmanager.php’nin Web sunucusuna bir Python komut dosyasıyla birkaç kez indirilmesini test ederek komut dosyalarını geliştirdi.” Dedi. “FileManager.php dosyası 12 Şubat’ta AutoLoad_ClassMap.php olarak yeniden adlandırıldı ve ilk olarak 14 Şubat’ta kullanıldı.”
 |
Ülkeye göre savunmasız zanaat cms örnekleri |
18 Nisan 2025 itibariyle, yaklaşık 300’ünün tehlikeye atıldığı iddia edilen tahmini 13.000 savunmasız zanaat CMS örneği tespit edilmiştir.
Craft CMS, bir danışmada, “Güvenlik duvarı günlüklerinizi veya web sunucusu günlüklerinizi kontrol ediyor ve eylemlere/varlıklara/oluşturma konusundaki zanaat denetleyicisine, özellikle gövdedeki __class dize ile şüpheli yayın istekleri bulursanız, siteniz en azından bu güvenlik açığı için taranmıştır.” Dedi. Diyerek şöyle devam etti: “Bu, sitenizin tehlikeye atıldığına dair bir onay değil; sadece araştırıldı.”
Uzlaşma kanıtı varsa, kullanıcılara güvenlik anahtarlarını yenilemeleri, veritabanı kimlik bilgilerini döndürmeleri, kullanıcı şifrelerini bol miktarda dikkatle sıfırlamaları ve güvenlik duvarı düzeyinde kötü amaçlı istekleri engellemeleri tavsiye edilir.
Açıklama aktif olarak geliyor! Posta Zero Day Yığın Tabanlı Tampon Taşma Güvenlik Açığı (CVE-2025-42599, CVSS Puan: 9.8) Uzaktan kod yürütülmesi için Japonya’daki organizasyonları hedefleyen siber saldırılarda aktif sömürü altına girmiştir. 6.60.06008562 sürümünde sabitlenmiştir.
Qualitia bir bültende, “Uzak bir üçüncü taraf hazırlanmış bir istek gönderiyorsa, keyfi kod yürütmek veya bir hizmet reddi (DOS) neden olmak mümkün olabilir.” Dedi.