CVE-2025-32432 : Vulnérabilité critique de Craft CMS activement exploitée dans des attaques de type zero-day, mène à l’exécution de code à distance
Suite à la divulgation de la vulnérabilité CVE-2025-34028 du Command Center, les chercheurs avertissent désormais d’une autre menace critique : une faille de gravité maximale dans Craft CMS, suivie sous le numéro CVE-2025-32432. Les attaquants la combinent avec un bug critique de validation d’entrée dans le framework Yii (CVE-2025-58136) pour alimenter des attaques zero-day, conduisant à des compromissions de serveurs et des vols de données. À la mi-avril, environ 13 000 instances de Craft CMS étaient vulnérables, dont au moins 300 auraient été compromises.
Avec la forte augmentation des vulnérabilités dans les logiciels largement utilisés et leur rapide militarisation dans les attaques réelles, le besoin de détection proactive des menaces est vital. Au premier semestre 2025, le NIST a enregistré plus de 15 000 vulnérabilités, dont beaucoup testent déjà les limites des équipes SOC à travers le monde. À mesure que les cybermenaces deviennent plus sophistiquées, une détection précoce devient essentielle pour devancer les attaquants et minimiser les dégâts.
Inscrivez-vous à la SOC Prime Platform et accédez au flux mondial des menaces actives fournissant des CTI en temps réel et du contenu de détection personnalisé pour identifier et atténuer les attaques exploitant les CVEs émergents à temps. Explorez une vaste bibliothèque de règles Sigma filtrées par le tag “CVE” et soutenues par une suite complète de produits pour la détection avancée des menaces et la chasse en cliquant Explorer les détections ci-dessous.
De plus, les professionnels de la sécurité peuvent exploiter Uncoder AI – un IDE privé et co-pilote pour l’ingénierie de détection informée des menaces – désormais totalement gratuit et disponible sans limites de jetons sur les fonctionnalités AI. Générez des algorithmes de détection à partir de rapports de menaces bruts, activez des balayages IOC rapides dans des requêtes optimisées pour la performance, prédisez les tags ATT&CK, optimisez le code des requêtes avec des conseils AI, traduisez-le à travers 48 langues SIEM, EDR et Data Lake, et plus encore.
Analyse CVE-2025-32432
Les chercheurs en sécurité ont découvert une campagne d’exploitation active enchaînant deux vulnérabilités critiques dans Craft CMS pour compromettre des serveurs et exfiltrer des données. Identifiées par le CSIRT d’Orange Cyberdefense, CVE-2025-32432 et CVE-2024-58136 sont enchaînées pour des attaques zero-day actives, permettant l’exécution de code à distance et des compromissions de serveurs via une méthode d’exploitation en plusieurs étapes.
Observée pour la première fois à la mi-février 2025, l’intrusion débute par l’exploitation de CVE-2025-32432 RCE dans Craft CMS. Initialement, la vulnérabilité découle d’une mauvaise configuration d’une fonctionnalité de transformation d’images intégrée permettant aux administrateurs de sites Web d’ajuster les images à un format choisi. En conséquence, un acteur de menace non authentifié pourrait envoyer une requête POST à l’endpoint chargé du traitement des images, et les données contenues dans le POST seraient interprétées par le serveur. En exploitant cette vulnérabilité, les acteurs de menace peuvent télécharger un gestionnaire PHP sur le système cible en élaborant une requête incluant un paramètre « URL de retour ». Cette valeur est stockée dans un fichier de session PHP, qui est ensuite retourné au visiteur dans le cadre d’une réponse HTTP du serveur, établissant ainsi un point d’ancrage sur le système compromis.
Lors de la deuxième étape de l’attaque, les acteurs de menace exploitent la vulnérabilité CVE-2024-58136 dans le framework Yii utilisé par Craft CMS pour envoyer une charge utile JSON malveillante et exécuter le code PHP dans le fichier de session sur le serveur. Cela permet l’installation du gestionnaire de fichiers basé sur PHP pour une compromise ultérieure du système.
Juste après la divulgation de la chaîne d’attaque, les développeurs de Yii ont adressé la vulnérabilité CVE-2024-58136 dans la version Yii 2.0.52. Craft CMS a également corrigé CVE-2025-32432 dans les versions 3.9.15, 4.14.15 et 5.6.17 au 10 avril 2025.
Pour minimiser les risques d’exploitation de zero-days similaires et d’autres CVEs connus, la SOC Prime Platform fournit aux équipes de sécurité une suite de produits complète basée sur une fusion unique de technologies, soutenue par l’IA et l’automatisation, et alimentée par des renseignements sur les menaces en temps réel pour aider les organisations mondiales à travers une multitude de secteurs industriels et d’environnements diversifiés à développer leurs opérations SOC. Inscrivez-vous maintenant pour surpasser les menaces cybernétiques et rester au sommet de toute éventuelle attaque cybernétique contre votre entreprise.
