HackerNews 编译,转载请注明出处:
网络安全研究人员观察到,攻击者利用Craft CMS中两个新披露的关键漏洞(零日漏洞)入侵服务器并获取未授权访问。
Orange Cyberdefense SensePost于2025年2月14日首次观测到此类攻击,其通过链式利用以下漏洞实现入侵:
- CVE-2024-58136(CVSS评分:9.0):Craft CMS使用的Yii PHP框架中“备用路径保护不当”漏洞,可被利用访问受限功能或资源(此为CVE-2024-4990的回归漏洞)CVE-2025-32432(CVSS评分:10.0):Craft CMS内置图像转换功能中的远程代码执行(RCE)漏洞(已在3.9.15、4.14.15和5.6.17版本修复)
网络安全公司指出,CVE-2025-32432存在于允许站点管理员将图像转换为特定格式的内置功能中。
安全研究员Nicolas Bourras表示:“CVE-2025-32432的利用依赖于未认证用户可向负责图像转换的端点发送POST请求,且服务器会解析POST数据。在Craft CMS 3.x版本中,资产ID会在创建转换对象前被检查,而4.x和5.x版本则在创建后检查。因此,攻击者需找到有效资产ID才能在所有版本中成功利用此漏洞。”
在Craft CMS中,资产ID(Asset ID)指管理文档文件和媒体的唯一标识符。攻击者通过批量发送POST请求直至发现有效资产ID,随后执行Python脚本验证服务器漏洞状态,并从GitHub仓库下载PHP文件至服务器。
研究人员称:“2月10日至11日期间,攻击者通过Python脚本多次测试下载filemanager.php文件至Web服务器以改进攻击脚本。2月12日,该文件被重命名为autoload_classmap.php,并于2月14日首次投入使用。”
截至2025年4月18日,全球已发现约13,000个存在漏洞的Craft CMS实例,其中近300个确认遭入侵。
Craft CMS在公告中强调:“若在防火墙或Web服务器日志中发现向actions/assets/generate-transform端点发送的异常POST请求(请求体中包含__class字符串),则表明您的站点已被扫描探测。但此现象仅说明漏洞被探测,不意味着已遭入侵。”
若确认遭入侵,建议用户刷新安全密钥、轮换数据库凭证、重置用户密码(作为额外防护),并在防火墙层面拦截恶意请求。
此漏洞披露之际,Active! Mail零日栈溢出漏洞(CVE-2025-42599,CVSS评分:9.8)正被活跃用于攻击日本企业以实现远程代码执行。该漏洞已在6.60.06008562版本修复。
Qualitia在公告中警告:“若远程第三方发送特制请求,可能导致任意代码执行或拒绝服务(DoS)。”
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
