Ciberseguridad 360 | Ataques zero-days aprovechan cadena de exploits en Craft CMS para robar datos

Dos vulnerabilidades que afectan a Craft CMS se encadenaron en ataques de d�a cero para violar servidores y robar datos, y su explotaci�n contin�a, seg�n CERT Orange Cyberdefense.

Las vulnerabilidades fueron descubiertas por el CSIRT de Orange Cyberdefense, que fue llamado para investigar un servidor comprometido.

Como parte de la investigaci�n, descubrieron que dos vulnerabilidades de d�a cero que afectaban a Craft CMS fueron explotadas para violar el servidor:

CVE-2025-32432: Una vulnerabilidad de ejecuci�n remota de c�digo (RCE) en Craft CMS.

CVE-2024-58136: Un fallo de validaci�n de entrada en el framework Yii utilizado por Craft CMS.

Seg�n un informe de SensePost, el equipo de hacking �tico de Orange Cyberdefense, los actores de la amenaza encadenaron ambas vulnerabilidades para vulnerar servidores y cargar un gestor de archivos PHP.

El ataque comienza con la explotaci�n de CVE-2025-32432, que permite a los atacantes enviar una solicitud especialmente dise�ada que contiene una "URL de retorno" como par�metro que se guarda en un archivo de sesi�n PHP. Este nombre de sesi�n se env�a al visitante como parte de la respuesta a la petici�n HTTP.

Solicitud para almacenar la URL de retorno en la sesi�n de Craft CMS

Fuente: SensePost

La segunda etapa del ataque aprovech� un fallo en el framework Yii (CVE-2024-58136), que utiliza Craft CMS. Para explotar este fallo, el atacante envi� una carga maliciosa JSON que caus� que el c�digo PHP en el archivo de sesi�n se ejecutara en el servidor.

Esto permiti� al atacante instalar un gestor de archivos basado en PHP en el servidor para comprometer a�n m�s el sistema.

Orange dijo a BleepingComputer que vieron pasos adicionales de compromiso, incluyendo cargas adicionales de puertas traseras y exfiltraci�n de datos. En una pr�xima entrada del blog se detallar� m�s informaci�n sobre esta actividad posterior a la explotaci�n.

Los desarrolladores de Yii solucionaron finalmente el fallo CVE-2024-58136 en la versi�n Yii 2.0.52 publicada el 9 de abril.

Craft CMS tambi�n corrigi� el fallo CVE-2025-32432 en las versiones 3.9.15, 4.14.15 y 5.6.17 el 10 de abril. Aunque en Craft CMS no actualizaron Yii a la �ltima versi�n, Orange afirma que la cadena de ataque sigue arreglada.

"A d�a de hoy, la versi�n 2.0.51 (vulnerable) sigue estando por defecto en Craft. Sin embargo, con la correcci�n de CVE-2025-32432, el problema de Yii ya no se puede desencadenar", dijo Orange a BleepingComputer.

Craft CMS recomienda que los administradores realicen los siguientes pasos si creen que su sitio ha sido comprometido:

Actualice su clave de seguridad en caso de que ya haya sido capturada. Puede ejecutar el comando php craft setup/security-key y copiar la variable de entorno CRAFT_SECURITY_KEY actualizada en todos los entornos de producci�n.

Si tiene otras claves privadas almacenadas como variables de entorno (por ejemplo, S3 o Stripe), actual�celas tambi�n.

Rote las credenciales de su base de datos.

Por precauci�n, es posible que desee obligar a todos sus usuarios a restablecer sus contrase�as en caso de que su base de datos se vea comprometida. Puede hacerlo ejecutando php craft resave/users --set passwordResetRequired --to �fn() => true�.

En el ap�ndice del informe de SensePost se pueden consultar todos los indicadores del ataque, incluidas las direcciones IP y los nombres de los archivos.

En febrero, CISA tambi�n etiquet� un fallo de inyecci�n de c�digo (RCE) rastreado como CVE-2025-23209 en Craft CMS 4 y 5 como explotado en ataques.

Fuente: bleepingcomputer