Craft CMS CVE-2025-32432 exp发布

独眼情报 2025-04-28 06:32

Craft CMS 0day, CVE-2025-32432

安全研究员 Chocapikk 发布了一个 Metasploit 模块，用于影响 Craft CMS 的关键零日漏洞，该漏洞被追踪为 CVE-2025-32432 (CVSS 10)。 这种远程代码执行 (RCE) 漏洞，当与 Yii 框架中的另一个输入验证漏洞 (CVE-2024-58136) 结合使用时，已在野外被积极利用，以入侵服务器并窃取敏感数据。

CERT Orange Cyberdefense 的调查显示，攻击者利用 Craft CMS 中的两个零日 漏洞 链来入侵服务器并窃取数据，目前正在持续 利用 。

攻击分两个阶段进行：
– CVE-2025-32432 – Craft CMS 中的远程代码执行： 攻击者发送一个包含“return URL”参数的特制 HTTP 请求，该参数被不正确地保存到 PHP 会话文件中。然后，会话名称在 HTTP 响应中返回。

• CVE-2024-58136 – Yii 框架输入验证缺陷： 发送恶意 JSON 负载，利用输入验证缺陷触发 PHP 代码从精心设计的会话文件执行。

这种巧妙的漏洞链使攻击者能够在受感染的服务器上安装基于 PHP 的文件管理器，从而授予他们对系统的完全控制权。

SensePost 报告指出，攻击者的恶意 JSON 负载触发了服务器上会话文件中 PHP 代码的执行。

两个 漏洞 都已得到解决：
– Craft CMS 已经为 CVE-2025-32432 发布了补丁，版本包括 3.9.15、4.14.15 和 5.6.17。

• Yii Framework 在 2025 年 4 月 9 日发布的 Yii 2.0.52 中解决了 CVE-2024-58136。

Craft CMS 澄清说，尽管 Yii 框架本身没有在 Craft 中升级，但他们通过自己的补丁缓解了特定的攻击媒介。

强烈建议怀疑遭到入侵的 Craft CMS 管理员采取以下措施：
– 通过运行 php craft setup/security-key 刷新 CRAFT_SECURITY_KEY。

• 轮换所有私钥和数据库凭据。

• 强制所有用户重置密码，使用 php craft resave/users –set passwordResetRequired –to “fn() => true”
  。

由于利用尝试仍在继续，情况依然严峻。Chocapikk 发布了专门的 Metasploit 模块 ，进一步降低了攻击者的门槛。

有关详细的入侵指标 (IOC)，包括 IP 地址和文件名，请参阅完整的 SensePost 报告(https://sensepost.com/blog/2025/investigating-an-in-the-wild-campaign-using-rce-in-craftcms/#iocs)。
– https://github.com/Chocapikk/CVE-2025-32432

• https://github.com/rapid7/metasploit-framework/pull/20085