Um grave defeito de segurança afetando o sistema de gerenciamento de conteúdo (CMS) Craft foi adicionado ao catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) pela Agência de Cibersegurança e Segurança de Infraestrutura dos EUA (CISA), com base em evidências de exploração ativa.
A vulnerabilidade em questão é a CVE-2025-23209 (pontuação CVSS: 8.1), que afeta as versões 4 e 5 do Craft CMS.
Ela foi corrigida pelos mantenedores do projeto no final de dezembro de 2024, nas versões 4.13.8 e 5.5.8.
"O Craft CMS contém uma vulnerabilidade de injeção de código que permite a execução remota de código, já que as versões vulneráveis têm chaves de segurança de usuário comprometidas," disse a agência.
A vulnerabilidade afeta as seguintes versões do software:
>= 5.0.0-RC1, < 5.5.5
>= 4.0.0-RC1, < 4.13.8
Em um aviso publicado no GitHub, o Craft CMS observou que todas as versões não corrigidas do Craft com uma chave de segurança comprometida são impactadas pelo defeito de segurança.
"Se você não puder atualizar para uma versão corrigida, então rotacionar sua chave de segurança e garantir sua privacidade ajudará a mitigar o problema", apontou.
Atualmente, não está claro como as chaves de segurança do usuário foram comprometidas e em que contexto.
Para aliviar o risco apresentado pela vulnerabilidade, recomenda-se que as agências do Ramo Executivo Civil Federal (FCEB) apliquem as correções necessárias até 13 de março de 2025.
Publicidade
A Dola é uma IA que funciona diretamente no WhatsApp ou Telegram, permitindo que você gerencie sua agenda — seja do Google Calendar ou do iPhone — de forma simples e intuitiva, mandando mensagens de texto, áudio ou até imagens.
Com a Dola, você recebe lembretes inteligentes, ligações na hora dos compromissos, resumo diário da sua agenda, pode fazer perguntas a qualquer momento e até receber, todos os dias, a previsão do tempo.
Perfeita para quem busca mais organização, foco e produtividade no dia a dia.
E o melhor: é gratuito! Experimente agora.
Saiba mais...