Ciberseguridad 360 | CISA alerta sobre vulnerabilidad en Craft CMS explotada activamente

La Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) de EE.UU. ha a�adido a su cat�logo de vulnerabilidades explotadas conocidas (KEV) un fallo de seguridad de alta gravedad que afecta al sistema de gesti�n de contenidos (CMS) Craft, bas�ndose en pruebas de explotaci�n activa.

La vulnerabilidad en cuesti�n es CVE-2025-23209 (puntuaci�n CVSS: 8,1), que afecta a las versiones 4 y 5 de Craft CMS. Fue abordada por los mantenedores del proyecto a finales de diciembre de 2024 en las versiones 4.13.8 y 5.5.8.

"Craft CMS contiene una vulnerabilidad de inyecci�n de c�digo que permite la ejecuci�n remota de c�digo, ya que las versiones vulnerables han comprometido las claves de seguridad del usuario", dijo la agencia.

La vulnerabilidad afecta a la siguiente versi�n del software:

>= 5.0.0-RC1, < 5.5.5
>= 4.0.0-RC1, < 4.13.8

En un aviso publicado en GitHub, Craft CMS se�al� que todas las versiones no parcheadas de Craft con una clave de seguridad comprometida se ven afectadas por el defecto de seguridad.

"Si no puede actualizar a una versi�n parcheada, rote su clave de seguridad y asegure su privacidad para ayudar a mitigar el problema", se�al�.

Actualmente no est� claro c�mo se han visto comprometidas las claves de seguridad de los usuarios, ni en qu� contexto. Para mitigar el riesgo que plantea la vulnerabilidad, se recomienda que los organismos del Poder Ejecutivo Civil Federal (FCEB) apliquen las correcciones necesarias antes del 13 de marzo de 2025.

En diciembre de 2024, Craft CMS advirti� de la explotaci�n activa de otro fallo de seguridad (CVE-2024-56145) que podr�a dar lugar a la ejecuci�n remota de c�digo cuando el ajuste de configuraci�n PHP "register_argc_argv" est� habilitado. La vulnerabilidad a�n no se ha a�adido al cat�logo KEV de CISA.

Fuente: thehackernews