Vulnerabilidad Craft CMS explotada activamente.

Los atacantes se encuentran explotando de forma activa dos vulnerabilidades presentes en Craft CMS: CVE-2025-32432 y CVE-2025-58136, por obtener acceso no autorizado y corromper servidores web.

¿Cuál es la amenaza?

Los actores de amenazas están explotando dos vulnerabilidades de seguridad críticas en Craft CMS mediante ataques de día cero. Estos ataques implican la encadenación de dos vulnerabilidades en Craft CMS y su framework PHP Yii subyacente. CVE-2025-32432, con una puntuación CVSS de 10.0, es una vulnerabilidad de ejecución remota de código (RCE) en Craft CMS. CVE-202458136, con una puntuación CVSS de 9.0, es una vulnerabilidad de protección inadecuada de rutas alternativas en el framework PHP Yii utilizando Craft CMS, que podría explotarse para acceder a funciones o recursos restringidos.

Hasta la fecha, más de 300 servidores en todo el mundo se han visto comprometidos, y aproximadamente 13,000 instancias permanecen vulnerables. Es crucial que todos los usuarios de Craft CMS que ejecutan versiones vulnerables tomen medidas inmediatas para parchear sus instalaciones e implementar las medidas de seguridad recomendadas para prevenir una posible explotación.

¿Por qué es digno de mención?

CVE-2024-58136 afecta al framework PHP Yii, utilizado por Craft CMS- Se debe a la gestión incorrecta de comportamientos definidos por una clave de matriz _class, lo que permite a los atacantes acceder a funcionalidades o recursos restringidos. Una explotación exitosa puede conducir al acceso no autorizado a áreas restringidas de la aplicación, lo que podría provocar una escalada de privilegios o la exposición de datos.

CVE-2025-32432 reside en la función de transformación de imágenes de Craft CMS. Permite a atacantes no autenticados enviar solicitudes POST especialmente diseñadas al endpoint de acciones, recursos, generación y transformación. Debido a una validación incorrecta, el servidor interpreta los datos dentro de la solicitud POST, lo que provoca una RCE.

¿Cuál es el riesgo?

Al explotarse conjuntamente, estas vulnerabilidades permiten a los atacantes remotos no autenticados ejecutar código arbitrario en los servidores afectados, lo que puede comprometer por completo el sistema. Al obtener acceso no autorizado al backend de Craft CMS, los atacantes pueden modificar el contenido del sitio web, las cuentas de usuario y las configuraciones. Pueden acceder y ex filtrar datos confidenciales almacenados en la base de datos de Craft CMS o en el sistema de archivos del servidor. Los atacantes suelen instalar puertas traseras para mantener el acceso persistente a los servidores comprometidos, incluso después de que las organizaciones hayan parcheado la vulnerabilidad inicial. Los atacantes podrían desfigurar sitios web o causar interrupciones del servicio.

Se recomienda realizar algunas de las siguientes acciones para mitigar el impacto:

• Actualice Craft CMS a la versión 3.9.15 o posterior, 4.14.15 o posterior y 5.6.17 o posterior.
• Actualice el framework PHP Yii a la versión 2.0.52 o posterior.
• Actualice la clave de seguridad de Craft CMS, rote las credenciales de la base de datos y cualquier otra clave privada almacenada como variable de entorno, y considere obligar a todos los usuarios a restablecer sus contraseñas.

Empieza a ahorrar con nuestros servicios de ciberseguridad administrados, contáctanos ahora mismo:

• Sitio web: Cobra Networks proveedor de Ciberseguridad en México para las marcas de Barracuda Networks, Censornet, Untangle
• Teléfono: +52(55)5599-0691
• Correo de contacto: ventas@cobranetworks.lat

JR