【高危漏洞预警】Craft CMS generate-transform反序列化代码执行漏洞（CVE-2025-32432）

cexlife 飓风网络安全 2025-04-27 03:57

漏洞描述:

Craft CMS是一个灵活、用户友好的内容管理系统,用于创建自定义的数字网络体验和其他体验,攻击者可构造恶意请求利用generate-transform端点触发反序列化,执行任意代码控制服务器,未经身份验证的攻击者可以通过该漏洞在目标服务器上注入恶意代码,最终获取服务器权限。

修复建议:

厂商已发布补丁修复漏洞,建议下载相关补丁或联系厂商获取相关支持尽快更新至安全版本。

安全版本:

Craft CMS >= 3.9.15

Craft CMS >= 4.14.15

Craft CMS >= 5.6.17

安装前,请确保备份所有关键数据,并按照官方指南进行操作。安装后,进行全面测试以验证漏洞已被彻底修复,并确保系统其他功能正常运行。

与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

参考链接:

https://github.com/craftcms/cms/security/advisories/GHSA-f3gw-9ww9-jmc3