Um grave defeito de segurança afetando o sistema de gerenciamento de conteúdo (CMS) Craft foi adicionado ao catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) pela Agência de Cibersegurança e Segurança de Infraestrutura dos EUA (CISA), com base em evidências de exploração ativa.
A vulnerabilidade em questão é a CVE-2025-23209 (pontuação CVSS: 8.1), que afeta as versões 4 e 5 do Craft CMS.
Ela foi corrigida pelos mantenedores do projeto no final de dezembro de 2024, nas versões 4.13.8 e 5.5.8.
"O Craft CMS contém uma vulnerabilidade de injeção de código que permite a execução remota de código, já que as versões vulneráveis têm chaves de segurança de usuário comprometidas," disse a agência.
A vulnerabilidade afeta as seguintes versões do software:
>= 5.0.0-RC1, < 5.5.5
>= 4.0.0-RC1, < 4.13.8
Em um aviso publicado no GitHub, o Craft CMS observou que todas as versões não corrigidas do Craft com uma chave de segurança comprometida são impactadas pelo defeito de segurança.
"Se você não puder atualizar para uma versão corrigida, então rotacionar sua chave de segurança e garantir sua privacidade ajudará a mitigar o problema", apontou.
Atualmente, não está claro como as chaves de segurança do usuário foram comprometidas e em que contexto.
Para aliviar o risco apresentado pela vulnerabilidade, recomenda-se que as agências do Ramo Executivo Civil Federal (FCEB) apliquem as correções necessárias até 13 de março de 2025.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...