CVE-2025-32432: 重大なCraft CMSの脆弱性がゼロデイ攻撃で積極的に悪用され、リモートコード実行につながる

公開後、 Command Center CVE-2025-34028の脆弱性が、研究者たちは別の重大な脅威について警告しています: Craft CMSに存在する最大深刻度の脆弱性（CVE-2025-32432として追跡されています）。攻撃者は、Yiiフレームワークの重大な入力検証バグ（CVE-2025-58136）と組み合わせて、ゼロデイ攻撃を行い、サーバー侵害やデータ窃盗につながっています。4月中旬までに、約13,000のCraft CMSインスタンスが脆弱で、少なくとも300が報告されているところによると侵害されています。

広く使用されているソフトウェアの脆弱性の急増と、それらが実際の攻撃で迅速に武器化される状況を受けて、脅威を事前に検出する必要性が重要です。2025年前半において、NISTは15,000を超える脆弱性を記録しており、その多くが世界中のSOCチームの限界を試している状態です。サイバー脅威がより高度になる中で、早期検出は攻撃者の先手を取り、被害を最小限に抑えるために不可欠です。

SOC Primeプラットフォームに登録して リアルタイムCTIとキュレーションされた検出コンテンツを提供するグローバルなアクティブ脅威フィードにアクセスし、新たなCVEを利用した攻撃をタイムリーに発見して緩和します。”CVE”タグでフィルタされたSigmaルールの広大なライブラリを調べ、高度な脅威検出とハンティングのための完全な製品スイートをバックにクリックして 検出を探索する 下をクリックしてください。

検出を探索する

さらに、セキュリティ専門家は Uncoder AI – 脅威に基づいた検出エンジニアリングのためのプライベートIDEと共存パイロット – を利用でき、AI機能にトークン制限のない完全無料の状態で利用可能です。生の脅威レポートから検出アルゴリズムを生成し、パフォーマンス最適化されたクエリへの即時IOCスウィープを可能にし、ATT&CKタグの予測、AIヒントによるクエリコードの最適化を行い、48のSIEM、EDR、データレイク言語間での翻訳を支援します。

CVE-2025-32432 分析

セキュリティ研究者たちはサーバーを侵害しデータを流出させるために、Craft CMSにおける2つの重大な脆弱性を連鎖させたアクティブな攻撃キャンペーンを発見しました。 Orange CyberdefenseのCSIRTによって 特定されたCVE-2025-32432とCVE-2024-58136は連鎖されてアクティブなゼロデイ攻撃を引き起こし、多段階のエクスプロイト手法を通じてリモートコード実行とサーバー侵害を可能にしています。

2025年2月中旬に初めて観察されたこの侵入は、Craft CMSにおけるCVE-2025-32432 RCEのエクスプロイトで始まります。本来の脆弱性は、Webサイト管理者が画像を選択した形式に調整できる組み込みの画像変換機能のミスコンフィグレーションに端を発しています。その結果、認証されていない脅威アクターは、画像処理を担当するエンドポイントにPOSTリクエストを送信する可能性があり、サーバーによってPOST内のデータが解釈されます。この脆弱性を悪用することにより、脅威アクターはリクエストを作成し「リターンURL」パラメーターを含めることでターゲットシステムにPHPマネージャーをアップロードできます。この値はPHPセッションファイルに保存され、サーバーのHTTPレスポンスの一部として訪問者に返され、侵害されたシステムに足跡を残します。

攻撃の第2段階では、脅威アクターはCraft CMSで使用されているYiiフレームワークのCVE-2024-58136脆弱性を利用して、悪意のあるJSONペイロードを送信し、サーバー上のセッションファイルにPHPコードを実行します。これにより、さらなるシステム妥協のためのPHPベースのファイルマネージャーのインストールが可能になります。

攻撃チェーンの公開直後に、Yiiの開発者は Yii 2.0.52リリースにおいてCVE-2024-58136の脆弱性を 対応し、Craft CMSはまた CVE-2025-32432の修正を 2025年4月10日のバージョン3.9.15、4.14.15、および5.6.17で行いました。

同様のゼロデイや他の既知のCVEの悪用リスクを最小限に抑えるために、 SOC Prime Platformは AIと自動化に支えられた技術の独自融合に基づく完全な製品スイートをセキュリティチームに提供し、リアルタイムの脅威インテリジェンスによって複数の産業セクターと多様な環境にわたるグローバルな組織を支援してSOC運営を拡大します。サイバー脅威を超え、ビジネスに対する潜在的なサイバー攻撃を抑える意図で今すぐ登録してください。