Cert Orange CyberDefense’e göre, CRAP CM’lerini etkileyen iki güvenlik açıkları, sunucuları ihlal etmek ve verileri çalmak için kullanma süresi devam etmek için sıfır gün saldırılarında birlikte zincirlendi.
Güvenlik açıkları, tehlikeye atılmış bir sunucuyu araştırmak için çağrılan Orange CyberDense CSIR tarafından keşfedildi.
Soruşturmanın bir parçası olarak, CRAP CM’lerini etkileyen iki sıfır günlük güvenlik açıkının sunucuyu ihlal etmek için kullanıldığını keşfettiler:
- CVE-2025-32432: Craft CMS’de bir uzaktan kod yürütme (RCE) güvenlik açığı.
- CVE-2024-58136: Craft CMS tarafından kullanılan YII çerçevesinde bir giriş doğrulama kusuru.
Turuncu CyberDefense’in etik hack ekibi SensePost’un bir raporuna göre, tehdit aktörleri sunucuları ihlal etmek ve bir PHP dosya yöneticisi yüklemek için bu güvenlik açıklarını bir araya getirdi.
Saldırı, saldırganların bir PHP oturum dosyasına kaydedilen bir parametre olarak “dönüş URL’si” içeren özel hazırlanmış bir istek göndermesine izin veren CVE-2025-32432’nin kullanımı ile başlar. Bu oturum adı, HTTP talebine verilen yanıtın bir parçası olarak ziyaretçiye gönderilir.

Kaynak: SensePost
Saldırının ikinci aşaması, CMS’nin kullandığı Yii çerçevesinde (CVE-2024-58136) bir kusurdan yararlandı. Bu kusurdan yararlanmak için saldırgan, oturum dosyasındaki PHP kodunun sunucuda yürütülmesine neden olan kötü amaçlı bir JSON yükü gönderdi.
Bu, saldırganın sistemi daha da tehlikeye atmak için sunucuda PHP tabanlı bir dosya yöneticisi yüklemesine izin verdi.
Orange, BleepingComputer’a, ek backroors yüklemeleri ve veri açığa çıkma da dahil olmak üzere ek uzlaşma adımları gördüklerini söyledi. Bu işten çıkarma sonrası etkinlik hakkında daha fazla bilgi, yaklaşan bir blog yayınında detaylandırılacaktır.
Yii geliştiricileri sonuçta 9 Nisan’da yayınlanan YII 2.0.52 sürümünde CVE-2024-58136 kusurunu düzeltti.
Craft CMS ayrıca 10 Nisan’da 3.9.15, 4.14.15 ve 5.6.17 sürümlerinde CVE-2025-32432 kusurunu düzeltti. Yii’yi Craft CMS’deki en son sürüme güncellemese de, Orange saldırı zincirinin hala sabit olduğunu söylüyor.
Orange, “Bugün, CVE-2025-32432 düzeltmesi ile Yii sorunu şimdi tetiklenemeyecek” dedi.
Craft CMS, Sitelerinin tehlikeye atıldığına inanıyorlarsa, yöneticilerin aşağıdaki adımları gerçekleştirmelerini önerir:
- Zaten yakalanmış olması durumunda güvenlik anahtarınızı yenileyin. PHP Craft kurulum/güvenlik-anahtar komutunu çalıştırabilir ve güncellenen Craft_security_key ortam değişkenini tüm üretim ortamlarına kopyalayabilirsiniz.
- Çevre değişkenleri (örn. S3 veya şerit) olarak saklanan başka özel tuşlarınız varsa, bunları da yenileyin.
- Veritabanı kimlik bilgilerinizi döndürün.
- Dikkat bol miktarda, veritabanınızın tehlikeye atılması durumunda tüm kullanıcılarınızı şifrelerini sıfırlamaya zorlamak isteyebilirsiniz. Bunu PHP Craft Resave/Kullanıcıları çalıştırarak yapabilirsiniz -“fn () => true” to Passway -set PassweySetRequired.
IP adresleri ve dosya adları da dahil olmak üzere tam uzlaşma göstergeleri için Ek’i SensePost’un raporunda görüntüleyebilirsiniz.
Şubat ayında CISA, CRAP CMS 4 ve 5’te CVE-2025-23209 olarak izlenen bir kod enjeksiyonu (RCE) kusuru saldırılarda sömürüldü.