CVE-2025-32432: Vulnerabilidad crítica en Craft CMS es explotada activamente en ataques de día cero, conduciendo a ejecución remota de código
Tras la divulgación de la vulnerabilidad CVE-2025-34028 del Command Center, los investigadores están ahora advirtiendo sobre otra amenaza crítica: una falla de máxima severidad en Craft CMS, rastreada como CVE-2025-32432. Los atacantes la están encadenando con un fallo crítico de validación de entrada en el marco Yii (CVE-2025-58136) para impulsar ataques de día cero, lo que lleva a brechas en servidores y robo de datos. A mediados de abril, alrededor de 13,000 instancias de Craft CMS eran vulnerables, con al menos 300 reportadas como comprometidas.
Con el aumento repentino de vulnerabilidades en software ampliamente usado y su rápida explotación en ataques reales, la necesidad de detección proactiva de amenazas es vital. En la primera mitad de 2025, NIST registró más de 15,000 vulnerabilidades, muchas de las cuales ya están poniendo a prueba los límites de los equipos SOC en todo el mundo. A medida que las ciberamenazas se vuelven más avanzadas, la detección temprana se convierte en esencial para mantenerse un paso adelante de los atacantes y minimizar los daños.
Regístrese en la plataforma SOC Prime y acceda al feed global de amenazas activas que ofrece CTI en tiempo real y contenido de detección curado para detectar y mitigar ataques aprovechando las CVE emergentes a tiempo. Explore una vasta biblioteca de reglas Sigma filtradas por la etiqueta “CVE” y respaldada por una suite completa de productos para detección y caza de amenazas avanzadas haciendo clic Explorar Detecciones abajo.
Además, los profesionales de seguridad pueden aprovechar Uncoder AI – un IDE privado y co-piloto para la ingeniería de detección informada por amenazas – ahora completamente gratis y disponible sin límites de tokens en funciones de IA. Genere algoritmos de detección a partir de informes de amenazas en bruto, habilite barridos rápidos de IOC en consultas optimizadas para el rendimiento, prediga etiquetas ATT&CK, optimice el código de consulta con consejos de IA, trádúzcalo a través de 48 lenguajes de SIEM, EDR y Data Lake, y mucho más.
Análisis de CVE-2025-32432
Investigadores de seguridad han descubierto una campaña activa de explotación encadenando dos vulnerabilidades críticas en Craft CMS para brechar servidores y exfiltrar datos. Identificada por el CSIRT de Orange Cyberdefense, CVE-2025-32432 y CVE-2024-58136 están encadenadas para ataques de día cero activos, habilitando la ejecución remota de código y brechas en servidores a través de un método de explotación de múltiples etapas.
Observado por primera vez a mediados de febrero de 2025, la intrusión comienza con la explotación de CVE-2025-32432 RCE en Craft CMS. Inicialmente, la vulnerabilidad surge de una mala configuración en una función de transformación de imágenes integrada que permite a los administradores de sitios web ajustar imágenes a un formato elegido. Como resultado, un actor de amenaza no autenticado podría enviar una solicitud POST al punto final responsable del procesamiento de imágenes, y los datos dentro del POST serían interpretados por el servidor. Al explotar esta vulnerabilidad, los actores de amenaza pueden cargar un gestor PHP en el sistema objetivo al crear una solicitud que incluye un parámetro de «URL de retorno». Este valor se almacena en un archivo de sesión PHP, que luego se devuelve al visitante como parte de la respuesta HTTP del servidor, estableciendo un punto de apoyo en el sistema comprometido.
En la segunda etapa del ataque, los actores de amenaza aprovechan la vulnerabilidad CVE-2024-58136 en el marco Yii usado por Craft CMS para enviar una carga útil JSON maliciosa y ejecutar el código PHP en el archivo de sesión en el servidor. Esto permite la instalación del gestor de archivos basado en PHP para una mayor comprometer del sistema.
Justo después de la divulgación de la cadena de ataque, los desarrolladores de Yii abordaron la vulnerabilidad CVE-2024-58136 en la versión 2.0.52 de Yii. Craft CMS también parchó CVE-2025-32432 en las versiones 3.9.15, 4.14.15 y 5.6.17 a partir del 10 de abril de 2025.
Para minimizar los riesgos de explotación de días cero similares y otras CVE conocidas, la plataforma SOC Prime brinda a los equipos de seguridad una suite completa de productos construida sobre una combinación única de tecnologías, respaldada por IA y automatización, y potenciada por inteligencia de amenazas en tiempo real para ayudar a las organizaciones globales en múltiples sectores industriales y entornos diversos a escalar sus operaciones SOC. Regístrese ahora para superar las ciberamenazas y mantenerse a la vanguardia de cualquier ataque cibernético potencial contra su negocio.
