CVE-2025-32432: Vulnerabilidade Crítica no Craft CMS Está Sendo Ativamente Explorada em Ataques Zero-Day, Levando à Execução Remota de Código
Após a divulgação da vulnerabilidade CVE-2025-34028 do Command Center, pesquisadores agora estão alertando sobre outra ameaça crítica: uma falha de máxima severidade no Craft CMS, rastreada como CVE-2025-32432. Os atacantes estão encadeando esta falha com um bug crítico de validação de entrada no framework Yii (CVE-2025-58136) para fomentar ataques de dia zero, levando a violações de servidores e roubo de dados. Em meados de abril, cerca de 13.000 instâncias do Craft CMS estavam vulneráveis, com pelo menos 300 supostamente comprometidas.
Com o acentuado aumento nas vulnerabilidades em softwares amplamente utilizados e sua rápida transformação em armas em ataques reais, a necessidade de detecção proativa de ameaças é vital. No primeiro semestre de 2025, o NIST registrou mais de 15.000 vulnerabilidades, muitas das quais já estão testando os limites das equipes SOC ao redor do mundo. À medida que as ameaças cibernéticas se tornam mais avançadas, a detecção precoce torna-se essencial para se manter à frente dos atacantes e minimizar danos.
Registre-se na SOC Prime Platform e acesse o feed global de ameaças ativas servindo inteligência de ameaças em tempo real e conteúdo de detecção curado para identificar e mitigar ataques que usam CVEs emergentes a tempo. Explore uma vasta biblioteca de regras Sigma filtradas pela tag “CVE” e respaldadas por um conjunto completo de produtos para detecção e caça avançada de ameaças clicando Explorar Detecções abaixo.
Além disso, os profissionais de segurança podem aproveitar Uncoder AI – um IDE privado e co-piloto para engenharia de detecção informada sobre ameaças – agora completamente gratuito e disponível sem limites de token nas funcionalidades de IA. Gere algoritmos de detecção a partir de relatórios de ameaças brutos, permita varreduras rápidas de IOC em consultas otimizadas para performance, preveja tags ATT&CK, otimize o código de consulta com dicas de IA, traduza-o entre 48 idiomas de SIEM, EDR e Data Lake, e mais.
Análise CVE-2025-32432
Pesquisadores de segurança descobriram uma campanha de exploração ativa encadeando duas vulnerabilidades críticas no Craft CMS para violar servidores e exfiltrar dados. Identificado pelo CSIRT da Orange Cyberdefense, CVE-2025-32432 e CVE-2024-58136 são encadeados para ataques de dia zero ativos, permitindo execução remota de código e violações de servidores através de um método de exploração em várias etapas.
Observado pela primeira vez em meados de fevereiro de 2025, a intrusão começa com a exploração do RCE CVE-2025-32432 no Craft CMS. Inicialmente, a vulnerabilidade origina-se de uma configuração incorreta em um recurso embutido de transformação de imagens que permite aos administradores do site ajustar imagens para um formato escolhido. Como resultado, um ator de ameaça não autenticado pode enviar uma solicitação POST para o endpoint responsável pelo processamento de imagens, e os dados dentro do POST seriam interpretados pelo servidor. Explorando esta vulnerabilidade, atores de ameaças conseguem fazer upload de um gerenciador PHP para o sistema alvo ao criar uma solicitação que inclui um parâmetro “return URL”. Este valor é armazenado em um arquivo de sessão PHP, que é então retornado ao visitante como parte da resposta HTTP do servidor—estabelecendo uma presença no sistema comprometido.
Na segunda etapa do ataque, atores de ameaça aproveitam a vulnerabilidade CVE-2024-58136 no framework Yii usado pelo Craft CMS para enviar uma carga JSON maliciosa e executar o código PHP no arquivo de sessão no servidor. Isso permite a instalação do gerenciador de arquivo baseado em PHP para um comprometimento adicional do sistema.
Logo após a divulgação da cadeia de ataque, os desenvolvedores do Yii lidaram com a vulnerabilidade CVE-2024-58136 na versão 2.0.52 do Yii. Craft CMS também corrigiu CVE-2025-32432 nas versões 3.9.15, 4.14.15 e 5.6.17 a partir de 10 de abril de 2025.
Para minimizar os riscos de exploração de dias-zero semelhantes e outros CVEs conhecidos, SOC Prime Platform fornece às equipes de segurança um conjunto completo de produtos construído em uma fusão única de tecnologias, apoiado por IA e automação, e alimentado por inteligência de ameaças em tempo real para ajudar organizações globais em vários setores industriais e ambientes diversos a escalarem suas operações SOC. Registre-se agora para superar ameaças cibernéticas e manter-se à frente de qualquer ataque cibernético potencial contra seu negócio.
