【已复现】Craft CMS generate-transform 反序列化代码执行漏洞（CVE-2025-32432）

↑点击关注，获取更多漏洞预警，技术分享

0x01 组件介绍

Craft CMS 是一个灵活、用户友好的内容管理系统，用于创建自定义的数字网络体验和其他体验。

搜索语法：app="craft-cms"

0x02 漏洞描述

   该漏洞CVSS评分高达10分，允许远程代码执行（RCE），起因是Craft CMS所依赖的Yii PHP框架存在缺陷，目前已有证据显示此漏洞正在被野外积极利用。漏洞源自上游Yii框架的问题，该问题已在 Yii 2.0.52 版本中修复。由于Craft CMS依赖Yii框架，因此在发布修补版本之前（即3.9.15、4.14.15和5.6.17之前的版本）均受此漏洞影响。攻击者可构造恶意请求利用generate-transform端点触发反序列化，执行任意代码，控制服务器。

3.0.0-RC1<=Craft CMS<= 3.9.14

4.0.0-RC1<=Craft CMS<= 4.14.14

5.0.0-RC1<=Craft CMS<= 5.6.16

0x04 漏洞验证

目前POC/EXP已经公开（后台留言：CVE-2025-32432，获取测试POC）

概念性验证：

发送数据包，出现下面的即可证明漏洞存在

使其执行phpinfo，查看响应结果

0x05 漏洞影响

由于该漏洞影响范围较广，危害较大。通过以上复现过程，我们可以知道该漏洞的利用过程比较简单，且能造成的危害是严重的，可以上传websell代码，控制系统权限。根据搜索引擎来看，目前未发现有国内用户正在使用。企业应该可按需求排查是否有使用该组件，并尽快做出对应措施

0x06 修复建议

目前官方已发布安全版本，请尽快更新到安全版本

官方地址：https://github.com/craftcms/cms/releases

Craft CMS >= 3.9.15

Craft CMS >= 4.14.15

Craft CMS >= 5.6.17

0X07 参考链接

https://github.com/craftcms/cms/security/advisories/GHSA-f3gw-9ww9-jmc3

0x08 免责声明> 本文所涉及的任何技术、信息或工具，仅供学习和参考之用。> 请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响，均由使用者个人承担责任，与本文作者无关。> 作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。使用本文所提供的信息或工具即视为同意本免责声明，并承诺遵守相关法律法规和道德规范。

原文始发于微信公众号（安全探索者）：【已复现】Craft CMS generate-transform 反序列化代码执行漏洞（CVE-2025-32432）