ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) tarafından aktif sömürü kanıtlarına dayanarak bilinen sömürülen güvenlik açıkları (KEV) kataloğuna zanaat içerik yönetim sistemini (CMS) etkileyen yüksek şiddetli bir güvenlik kusuru eklenmiştir.
Söz konusu güvenlik açığı, CRAP CMS sürümleri 4 ve 5’i etkileyen CVE-2025-23209’dur (CVSS puanı: 8.1). Aralık 2024’ün sonlarında 4.13.8 ve 5.5.8 sürümlerinde proje koruyucuları tarafından ele alınmıştır.
Ajans, “Craft CMS, savunmasız sürümler kullanıcı güvenlik anahtarlarından ödün verdiğinden, uzaktan kod yürütülmesine izin veren bir kod enjeksiyon güvenlik açığı içerir.” Dedi.
Güvenlik açığı, yazılımın aşağıdaki sürümünü etkiler –
- > = 5.0.0-rc1, <5.5.5
- > = 4.0.0-rc1, <4.13.8
GitHub’da yayınlanan bir danışmanlıkta, Craft CMS, güvenliği ihlal edilmiş bir güvenlik anahtarına sahip tüm Craft sürümlerinin güvenlik hatasından etkilendiğini belirtti.
“Yamalı bir sürüme güncelleme yapamıyorsanız, güvenlik anahtarınızı döndürür ve gizliliğini sağlamak sorunu azaltmaya yardımcı olacaktır.”
Şu anda kullanıcı güvenlik anahtarlarının nasıl tehlikeye atıldığı ve hangi bağlamda net değil. Güvenlik açığının sağladığı riski hafifletmek için Federal Sivil Yürütme Şubesi (FCEB) kurumlarının 13 Mart 2025’e kadar gerekli düzeltmeleri uygulaması önerilmektedir.