“Craft CMS高危漏洞。”
01
—
导语
近期,网络安全机构监测到针对Craft CMS内容管理系统的高危漏洞(CVE-2025-32432)的大规模攻击活动。攻击者通过远程代码执行(RCE)漏洞,已成功入侵全球数百台服务器,窃取敏感数据并部署后门程序。Craft CMS官方已将该漏洞标记为CVSS 10.0最高风险级别,并确认攻击代码(PoC)已在黑市传播,未修复系统面临极高威胁。
一.漏洞详情:攻击者如何攻破服务器?
-
漏洞背景
-
CVE编号:CVE-2025-32432(CVSS 10.0)
-
影响范围:Craft CMS 3.0.0至5.6.16的所有版本。
-
根源问题:漏洞源于Craft CMS依赖的Yii框架(CVE-2024-58136),攻击者通过构造恶意HTTP请求,利用“
actions/assets/generate-transform”端点注入PHP代码,最终实现远程控制服务器。 -
攻击手法
-
双重漏洞利用链:攻击者首先通过“返回URL参数”触发会话文件写入漏洞,再结合Yii框架缺陷执行恶意代码,形成完整攻击链。
-
典型攻击特征:日志中若出现包含“
__class”字符串的POST请求(目标为上述端点),则表明系统已被扫描或攻击。
二.已确认的攻击后果
-
数据窃取:攻击者在受控服务器上部署PHP文件管理器,窃取数据库凭证、用户密码等敏感信息。
-
持久化后门:通过上传Web Shell,攻击者可长期控制服务器,进一步渗透内网。
-
横向扩散:部分案例显示,攻击者利用失陷服务器作为跳板,攻击同一网络内的其他系统。
三.影响范围与紧急修复建议
-
受影响版本
-
Craft CMS 3.x:3.0.0至3.9.14
-
Craft CMS 4.x:4.0.0至4.14.14
-
Craft CMS 5.x:5.0.0至5.6.16。
-
修复方案
-
重置安全密钥(
php craft setup/security-key)。 -
轮换数据库凭证及API密钥,强制所有用户修改密码。
-
在防火墙拦截包含“
__class”的POST请求。 -
安装官方临时补丁库“Craft CMS Security Patches”。
-
立即升级:安装官方安全版本(3.9.15、4.14.15、5.6.17)。
-
临时缓解措施:
-
入侵后处理:
四.企业应对指南
-
检测与监控
-
检查服务器日志中异常的“
generate-transform”端点请求。 -
使用安全产品(如深信服云镜、WAF)扫描漏洞资产。
-
深度防护
-
启用Web应用防火墙(WAF)规则,拦截恶意载荷。
-
限制未授权访问关键接口,如管理面板。
结语
CVE-2025-32432是2025年迄今影响最广泛的CMS漏洞之一,其低攻击门槛与高危害性已引发全球安全团队高度警戒。Craft CMS用户需立即行动,避免成为下一批受害者。
免责声明:
本人所有文章均为技术分享,均用于防御为目的的记录,所有操作均在实验环境下进行,请勿用于其他用途,否则后果自负。
第二十七条:任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序和工具;明知他人从事危害网络安全的活动,不得为其提供技术支持、广告推广、支付结算等帮助
第十二条: 国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。
任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。
第十三条: 国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。
原文始发于微信公众号(道玄网安驿站):CVE-2025-32432(RCE)漏洞被大规模利用,未修复系统可能已遭数据窃取
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论