Agentes de ameaças foram observados explorando duas falhas críticas de segurança recentemente divulgadas no Craft CMS em ataques de zero-day para invadir servidores e ganhar acesso não autorizado.
Os ataques, primeiramente observados pela Orange Cyberdefense SensePost em 14 de fevereiro de 2025, envolvem a concatenação das seguintes vulnerabilidades:
-
CVE-2024-58136
(pontuação CVSS: 9.0) - Uma falha de proteção inadequada de caminho alternativo no framework Yii PHP usado pelo Craft CMS, que poderia ser explorada para acessar funcionalidades ou recursos restritos (Uma regressão do
CVE-2024-4990
);
-
CVE-2025-32432
(pontuação CVSS: 10.0) - Uma vulnerabilidade de execução remota de código (RCE) no Craft CMS (Corrigida nas versões 3.9.15, 4.14.15 e 5.6.17).
De acordo com a empresa de cibersegurança,
CVE-2025-32432
reside em um recurso intrínseco de transformação de imagens que permite que os administradores do site mantenham as imagens em um determinado formato.
"
CVE-2025-32432
se baseia no fato de que um usuário não autenticado poderia enviar uma requisição POST para o endpoint responsável pela transformação da imagem e os dados dentro do POST seriam interpretados pelo servidor", disse o pesquisador de segurança Nicolas Bourras.
Nas versões 3.x do Craft CMS, o ID do ativo é verificado antes da criação do objeto de transformação, enquanto nas versões 4.x e 5.x, o ID do ativo é verificado depois.
Assim, para que o exploit funcione com todas as versões do Craft CMS, o agente de ameaça precisa encontrar um ID de ativo válido. O ID de ativo, no contexto do Craft CMS, refere-se à maneira como os arquivos de documentos e mídias são gerenciados, com cada ativo recebendo um ID único.
Os agentes de ameaças por trás da campanha foram encontrados executando múltiplas requisições POST até descobrir um ID de ativo válido, após o qual um script Python é executado para determinar se o servidor é vulnerável e, caso afirmativo, fazer o download de um arquivo PHP no servidor a partir de um repositório GitHub.
"Entre os dias 10 e 11 de fevereiro, o agente de ameaça aprimorou seus scripts testando o download do arquivo filemanager.php para o servidor web várias vezes com um script Python," o pesquisador disse.
O arquivo filemanager.php foi renomeado para autoload_classmap.php no dia 12 de fevereiro e foi utilizado pela primeira vez no dia 14 de fevereiro." Instâncias Vulneráveis do Craft CMS por País Até 18 de abril de 2025, estima-se que 13.000 instâncias vulneráveis do Craft CMS tenham sido identificadas, das quais quase 300 teriam sido supostamente comprometidas.
"Se você verificar seus logs de firewall ou logs de servidor web e encontrar requisições POST suspeitas para o endpoint do controlador do Craft actions/assets/generate-transform, especificamente com a string __class no corpo, então seu site pelo menos foi escaneado para essa vulnerabilidade," disse o Craft CMS em um aviso.
Isso não é uma confirmação de que seu site foi comprometido; ele apenas foi sondado.
Se houver evidências de comprometimento, os usuários são aconselhados a atualizar as chaves de segurança, rotacionar as credenciais do banco de dados, redefinir as senhas dos usuários por uma questão de precaução, e bloquear requisições maliciosas no nível do firewall.
A divulgação ocorre enquanto uma vulnerabilidade de estouro de buffer baseado em pilha zero-day do Active! Mail (
CVE-2025-42599
, pontuação CVSS: 9.8) está sob exploração ativa em ataques cibernéticos direcionados a organizações no Japão para alcançar execução remota de código.
Ela foi corrigida na versão 6.60.06008562.
"Se uma parte remota envia uma requisição elaborada, pode ser possível executar código arbitrário ou causar uma negação de serviço (DoS)," Qualitia disse em um boletim.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...