Cert Orange CyberDefense’deki güvenlik araştırmacılarına göre, Craft CMS’de kritik bir uzaktan kod yürütme (RCE) güvenlik açığı, sunucuları ihlal etmek ve verileri çalmak için aktif olarak kullanılmaktadır.
CVE-2025-32432 olarak izlenen ve maksimum CVSS puanı 10.0 atanan güvenlik açığı, 3.9.15, 4.14.15 ve 5.6.17’den önce Craft CMS’nin tüm sürümlerini etkiler.
CMS RCE 0 günlük güvenlik açığı
Güvenlik araştırmacıları, saldırganların sofistike sıfır günlük saldırılarda iki güvenlik açıkına zincirlediğini keşfetti. İlk güvenlik açığı (CVE-2025-32432), saldırganların bir PHP oturum dosyasına kaydedilen bir “Dönüş URL’si” parametresi içeren özel hazırlanmış istekler göndermesine olanak tanır.
.png
)
İkinci güvenlik açığı, CRAP CMS’nin kullandığı YII çerçevesinde (CVE-2024-58136) bir kusurdan yararlanır ve saldırganların sunucuda kötü niyetli PHP kodu yürütmesini sağlar.
Güvenlik açığı başlangıçta 7 Nisan 2025’te, Craft CMS’nin 9 Nisan’da yayınlanan YII 2.0.52’de sabitlenen YII çerçevesiyle ilgili bir kusur hakkında bilgi aldığı bildirildi.
Güvenlik açığını doğruladıktan sonra Craft CMS, 10 Nisan’da uygulama düzeyinde bir düzeltme ile yamalı sürümleri yayınladı. 17 Nisan’a kadar, vahşi doğada aktif sömürünün kanıtları ortaya çıktı ve Craft CMS’nin potansiyel olarak etkilenen tüm lisans sahiplerine e -posta göndermesini istedi.
Orange CyberDefense’e göre, saldırganlar bu istismar zincirini PHP tabanlı dosya yöneticilerini tehlikeye atılmış sunuculara yüklemek, ek backdroors yüklemek ve hassas verileri dışarı atmak için kullandılar.
Kullanıcılar, bu güvenlik açığı için potansiyel taramayı gösteren “__Class” dizesini içeren “Eylemler/Varlıklar/Oluştur-Dönüştürme” son noktasına şüpheli yayın istekleri için günlüklerini kontrol etmelidir.
Riski azaltmak için kullanıcılar hemen yamalı sürümleri güncellemelidir. Güncelleyemeyenler için Craft CMS, şüpheli yüklerin güvenlik duvarı seviyesinde engellenmesini veya Craft CMS Güvenlik Yamaları kütüphanesinin geçici bir çözüm olarak kurulmasını önerir.
Bir sistemin tehlikeye atıldığına inanılıyorsa, yöneticiler güvenlik anahtarlarını kullanarak php craft setup/security-keyortam değişkenleri olarak depolanan özel tuşları döndürün, veritabanı kimlik bilgilerini döndürün ve tüm kullanıcılar için şifre sıfırlamalarını zorlayın.
Craft Cloud, küresel güvenlik duvarını bu istismarı hedefleyen kötü niyetli istekleri engelleyecek şekilde yapılandırdı, ancak kullanıcılar yine de yamalı sürümleri güncellemeye teşvik ediliyor.
Bu, Şubat 2025’te CISA’nın bilinen sömürülen güvenlik açıkları kataloğuna eklenen CVE-2025-23209’un ardından bu yıl CRAP CMS’yi etkileyen ikinci büyük güvenlik açığıdır.
SOC ve DFIR ekiplerinden misiniz? -Kötü amaçlı yazılım olaylarını analiz edin ve herhangi biriyle canlı erişim alın.Run -> Şimdi ücretsiz başlayın.