kitidach - stock.adobe.com

Une vulnérabilité critique affecte Craft CMS

Référencée CVE-2025-32432, cette vulnérabilité permet à un assaillant non authentifié de forcer l’exécution à distance de code arbitraire. Les équipes d’Orange Cyberdefense l’ont découverte en inspectant un serveur compromis… mi-février.

Craft vient de lever le voile sur la vulnérabilité CVE-2025-32432 affectant son système de gestion de contenus, Craft CMS. Celle-ci est basée sur le framework Yii, explique l’éditeur dans un billet de blog.

Le framework affecté est corrigé depuis sa version 2.0.52 et Craft indique avoir commencé à distribuer des versions patchées le 10 avril : 3.9.15, 4.14.15, et 5.6.17.

Dans son billet de blog, Craft dit avoir « découvert des indices suggérant que la vulnérabilité était activement exploitée », le 17 avril. Mais cette exploitation active apparaît bien antérieure.

Ainsi, les équipes d’Orange Cyberdefense expliquent avoir découvert la vulnérabilité en question à l’occasion d’une investigation concernant un serveur ayant été compromis… le 10 février. Via l’exploitation de la CVE-2025-32432 : « l’acteur malveillant l’a utilisée pour télécharger sur le serveur un gestionnaire de fichiers écrit en PHP qui a ensuite été utilisé pour téléverser d’autres fichiers PHP sur le serveur ».

Orange Cyberdefense fournit des marqueurs techniques de compromission et a sollicité Onyphe.io pour dresser un état des lieux de l’exposition des instances Craft CMS à cette menace sur Internet. 

Dans un billet de blog, ce spécialiste de la gestion de la surface d’attaque exposée indique avoir identifié plus de 40 000 adresses IP uniques hébergeant Craft CMS, représentant plus de 37 000 noms de domaine uniques. Dans le lot, Onyphe a identifié, au 20 avril, 8 137 instances vulnérables exposées directement sur Internet, pour un total de plus de 12 000 noms de domaines uniques : il y a là, dans le lot, des instances partagées. 

Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)