CVE-2025-32432: Vulnerabilità Critica in Craft CMS Attivamente Sfruttata in Attacchi Zero-Day, Porta a Esecuzione di Codice Remota
A seguito della divulgazione della vulnerabilità Command Center CVE-2025-34028, i ricercatori stanno ora avvertendo di un’altra minaccia critica: un difetto di massima gravità in Craft CMS, tracciato come CVE-2025-32432. Gli aggressori lo stanno concatenando con un grave bug di validazione degli input nel framework Yii (CVE-2025-58136) per alimentare attacchi zero-day, portando a violazioni dei server e furto di dati. Entro metà aprile, circa 13.000 istanze di Craft CMS erano vulnerabili, con almeno 300 compromessi segnalati.
Con il brusco aumento delle vulnerabilità nei software ampiamente utilizzati e la loro rapida armamentazione in attacchi reali, la necessità di rilevamento proattivo delle minacce è vitale. Nella prima metà del 2025, il NIST ha registrato più di 15.000 vulnerabilità, molte delle quali stanno già testando i limiti dei team SOC in tutto il mondo. Mentre le minacce informatiche diventano sempre più avanzate, il rilevamento precoce diventa essenziale per rimanere avanti agli aggressori e minimizzare i danni.
Registrati alla piattaforma SOC Prime e accedi al feed globale delle minacce attive che fornisce CTI in tempo reale e contenuti di rilevamento curati per individuare e mitigare gli attacchi sfruttando i CVE emergenti in tempo. Esplora una vasta libreria di regole Sigma filtrate per il tag “CVE” e supportate da una suite completa di prodotti per il rilevamento avanzato delle minacce e la caccia cliccando Esplora Rilevamenti sotto.
Inoltre, i professionisti della sicurezza potrebbero sfruttare Uncoder AI – un IDE privato e co-pilota per l’ingegneria del rilevamento informato da minacce – ora completamente gratuito e disponibile senza limiti di token sulle funzionalità AI. Genera algoritmi di rilevamento da rapporti di minacce grezze, abilita rapide scansioni IOC in query ottimizzate per le prestazioni, prevede tag ATT&CK, ottimizza il codice delle query con consigli AI, lo traduce in 48 lingue SIEM, EDR e Data Lake, e altro ancora.
Analisi CVE-2025-32432
I ricercatori di sicurezza hanno scoperto una campagna di sfruttamento attiva che concatena due vulnerabilità critiche in Craft CMS per violare server ed esfiltrare dati. Identificato da CSIRT di Orange Cyberdefense, CVE-2025-32432 e CVE-2024-58136 sono concatenati per attacchi zero-day attivi, abilitando l’esecuzione di codice remoto e violazioni del server attraverso un metodo di sfruttamento a più fasi.
Osservata per la prima volta a metà febbraio 2025, l’intrusione inizia con lo sfruttamento di CVE-2025-32432 RCE in Craft CMS. Inizialmente, la vulnerabilità deriva da una configurazione errata su una funzionalità di trasformazione delle immagini integrata che consente agli amministratori del sito web di regolare le immagini in un formato scelto. Di conseguenza, un attore di minacce non autenticato potrebbe inviare una richiesta POST al punto finale responsabile dell’elaborazione delle immagini, e i dati all’interno del POST verrebbero interpretati dal server. Sfruttando questa vulnerabilità, gli attori delle minacce sono in grado di caricare un gestore PHP sul sistema di destinazione creando una richiesta che include un parametro “return URL”. Questo valore viene memorizzato in un file di sessione PHP, che viene quindi restituito al visitatore come parte della risposta HTTP del server, stabilendo un punto d’appoggio sul sistema compromesso.
Nella seconda fase dell’attacco, gli attori delle minacce sfruttano la vulnerabilità CVE-2024-58136 nel framework Yii utilizzato da Craft CMS per inviare un payload JSON dannoso ed eseguire il codice PHP nel file di sessione sul server. Ciò consente l’installazione del gestore file basato su PHP per un ulteriore compromesso del sistema.
Subito dopo la divulgazione della catena di attacco, gli sviluppatori di Yii hanno affrontato la vulnerabilità CVE-2024-58136 nel rilascio di Yii 2.0.52. Craft CMS ha anche corretto CVE-2025-32432 nelle versioni 3.9.15, 4.14.15 e 5.6.17 a partire dal 10 aprile 2025.
Per minimizzare i rischi di sfruttamento di zero-day simili e altri CVE noti, la piattaforma SOC Prime fornisce ai team di sicurezza una suite completa di prodotti costruita su un’unica fusione di tecnologie, supportata da AI e automazione, e alimentata da intel di minacce in tempo reale per aiutare le organizzazioni globali in diversi settori industriali e ambienti a scalare le loro operazioni SOC. Registrati ora per sovrastare le minacce informatiche e mantenerti al passo con qualsiasi potenziale attacco informatico contro la tua attività.
