CVE-2025-32432: Kritische Craft-CMS-Sicherheitslücke wird in Zero-Day-Angriffen aktiv ausgenutzt und führt zu Remote-Code-Ausführung
Nach der Offenlegung der Command Center CVE-2025-34028 Sicherheitslücke, warnen Forscher nun vor einer weiteren kritischen Bedrohung: eine Schwachstelle höchster Schwere in Craft CMS, verfolgt als CVE-2025-32432. Angreifer kombinieren sie mit einem kritischen Eingabevalidierungsfehler im Yii-Framework (CVE-2025-58136), um Zero-Day-Angriffe durchzuführen, die zu Servereinbrüchen und Datendiebstahl führen. Bis Mitte April waren etwa 13.000 Craft CMS-Instanzen verwundbar, von denen mindestens 300 kompromittiert wurden.
Mit dem starken Anstieg an Schwachstellen in weit verbreiteter Software und ihrer schnellen Waffennutzung in realen Angriffen ist der Bedarf an proaktiver Bedrohungserkennung entscheidend. In der ersten Hälfte von 2025 verzeichnete das NIST mehr als 15.000 Schwachstellen, von denen viele bereits die Grenzen der SOC-Teams weltweit austesten. Da Cyberbedrohungen immer ausgefeilter werden, wird die frühe Erkennung unerlässlich, um Angreifern voraus zu bleiben und Schäden zu minimieren.
Registrieren Sie sich auf der SOC Prime Plattform und greifen Sie auf den globalen Feed aktiver Bedrohungen zu, der Echtzeit-CTI und kuratierte Erkennungsinhalte bietet, um Angriffe zu erkennen und abzumildern, die neue CVEs ausnutzen. Erkunden Sie eine umfangreiche Bibliothek von Sigma-Regeln, gefiltert nach dem „CVE“-Tag und unterstützt durch eine vollständige Produktsuite für fortschrittliche Bedrohungserkennung und Jagd, indem Sie auf Erkennungen erkunden klicken.
Darüber hinaus können Sicherheitsfachleute Uncoder AI nutzen – eine private IDE und Co-Pilot für Bedrohungs-informierte Erkennungstechnik –, jetzt vollständig kostenlos und ohne Token-Beschränkungen für KI-Funktionen verfügbar. Erstellen Sie Erkennungsalgorithmen aus Rohbedrohungsberichten, ermöglichen Sie schnelle IOC-Überprüfungen in leistungsoptimierte Abfragen, prognostizieren Sie ATT&CK-Tags, optimieren Sie Abfragecode mit KI-Tipps, übersetzen Sie ihn in 48 SIEM-, EDR- und Data Lake-Sprachen und mehr.
CVE-2025-32432 Analyse
Sicherheitsforscher haben eine aktive Ausbeutungskampagne aufgedeckt, die zwei kritische Schwachstellen in Craft CMS kombiniert, um Server zu kompromittieren und Daten zu exfiltrieren. Identifiziert vom CSIRT von Orange Cyberdefense, werden CVE-2025-32432 und CVE-2024-58136 für aktive Zero-Day-Angriffe kombiniert, die die Ausführung von Remote-Code und Servereinbrüche durch eine mehrstufige Ausbeutungsmethode ermöglichen.
Erstmals Mitte Februar 2025 beobachtet, beginnt der Einbruch mit der Ausnutzung der RCE CVE-2025-32432 in Craft CMS. Ursprünglich entsteht die Schwachstelle aus einer Fehlkonfiguration in einer integrierten Bildtransformationsfunktion, die es Website-Administratoren ermöglicht, Bilder in ein gewähltes Format anzupassen. So kann ein nicht authentifizierter Bedrohungsakteur eine POST-Anfrage an den für die Bildverarbeitung zuständigen Endpunkt senden, und die Daten innerhalb des POST würden vom Server interpretiert. Beim Ausnutzen dieser Schwachstelle können Bedrohungsakteure einen PHP-Manager auf das Zielsystem hochladen, indem sie eine Anfrage gestalten, die einen „Rück-URL“-Parameter enthält. Dieser Wert wird in einer PHP-Sitzungsdatei gespeichert, die dann dem Besucher als Teil der HTTP-Antwort des Servers zurückgegeben wird – ein Standbein auf dem kompromittierten System etablierend.
Im zweiten Angriffsstadium nutzen Bedrohungsakteure die CVE-2024-58136 Schwachstelle im Yii-Framework, das von Craft CMS verwendet wird, um eine bösartige JSON-Nutzlast zu senden und den PHP-Code in der Sitzungsdatei auf dem Server auszuführen. Dies ermöglicht die Installation des PHP-basierten Dateimanagers für die weitere Systemkompromittierung.
Unmittelbar nach der Offenlegung der Angriffskette behandelten die Yii-Entwickler die CVE-2024-58136 Schwachstelle im Yii 2.0.52-Release. Craft CMS hat auch CVE-2025-32432 in den Versionen 3.9.15, 4.14.15 und 5.6.17 bis zum 10. April 2025 behoben. CVE-2025-32432 in versions 3.9.15, 4.14.15, and 5.6.17 as of April 10, 2025.
Um die Risiken der Ausnutzung ähnlicher Zero-Days und anderer bekannter CVEs zu minimieren, SOC Prime Plattform bietet Sicherheitsteams eine vollständige Produktsuite, die auf einer einzigartigen Verschmelzung von Technologien basiert, unterstützt durch KI und Automatisierung, und angetrieben durch Echtzeit-Bedrohungsinformationen, um globalen Organisationen in verschiedenen Branchen und unterschiedlichen Umgebungen zu helfen, ihre SOC-Operationen zu skalieren. Registrieren Sie sich jetzt, um Cyber-Bedrohungen zu übertreffen und mögliche Cyberangriffe gegen Ihr Unternehmen frühzeitig zu erkennen.
