CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2025-32432

Krytyczny RCE w Craft CMS — zdalne wykonanie kodu bez uwierzytelnienia

CVSS 10.0v3.1pub. 2025-04-25upd. 2026-03-20

Craft CMS w wersjach od 3.0.0-RC1 do 5.6.17 zawiera krytyczną podatność umożliwiającą zdalne wykonanie kodu (RCE) bez jakiegokolwiek uwierzytelnienia. Podatność jest aktywnie wykorzystywana w środowiskach produkcyjnych i uzyskała maksymalną ocenę CVSS 10.0.

Pokaż oryginał (EN)

Craft is a flexible, user-friendly CMS for creating custom digital experiences on the web and beyond. Starting from version 3.0.0-RC1 to before 3.9.15, 4.0.0-RC1 to before 4.14.15, and 5.0.0-RC1 to before 5.6.17, Craft is vulnerable to remote code execution. This is a high-impact, low-complexity attack vector. This issue has been patched in versions 3.9.15, 4.14.15, and 5.6.17, and is an additional fix for CVE-2023-41892.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-94 (code injection) pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie dowolnego kodu na serwerze hostującym Craft CMS. Atak charakteryzuje się niską złożonością i nie wymaga żadnej interakcji ze strony użytkownika ani posiadania konta w systemie. Jest to dodatkowa poprawka do wcześniej zgłoszonej podatności CVE-2023-41892, co wskazuje na niepełne usunięcie pierwotnego wektora ataku.

Skutki

Atakujący może zdalnie wykonać dowolny kod na serwerze, co w praktyce oznacza pełne przejęcie kontroli nad aplikacją i potencjalnie całym systemem, kradzież danych, instalację backdoorów lub dalszy lateral movement w sieci.

Mitygacja

Należy niezwłocznie zaktualizować Craft CMS do wersji 3.9.15, 4.14.15 lub 5.6.17 (wydanych 2025-04-10). Ze względu na aktywną eksploatację w środowiskach produkcyjnych aktualizacja powinna być traktowana jako pilna i przeprowadzona natychmiast.

Kogo dotyczy

Craft CMS w wersjach: 3.0.0-RC1 do przed 3.9.15, 4.0.0-RC1 do przed 4.14.15 oraz 5.0.0-RC1 do przed 5.6.17

Uwagi

Podatność stanowi dodatkową (niekompletnie załataną wcześniej) poprawkę dla CVE-2023-41892. Poprawki zostały wydane 2025-04-10 i oznaczone jako CRITICAL w oficjalnych changelogach producenta. CISA potwierdziła aktywną eksploatację.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:L
  • Craftcms Craft Cms

    APP
    Craftcms
    3.0.0 – 3.9.15 (bez)4.0.0 – 4.14.15 (bez)5.0.0 – 5.6.17 (bez)

CISA KEV — szczegółyi

Dostawcai
Craft CMS
Produkti
Craft CMS
Data dodania do KEVi
20 marca 2026
Termin remediation (USA)i
3 kwietnia 2026(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań użytkowania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Craft CMS zawiera lukę typu code injection, która umożliwia zdalnemu atakującemu wykonanie dowolnego kodu.

tłumaczenie AI
Pokaż oryginał (EN)

Craft CMS contains a code injection vulnerability that allows a remote attacker to execute arbitrary code.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 3 kwietnia 2026
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2024-56145CRITICAL9.3⚠ KEVPL ✓ten sam produkt

RCE w Craft CMS przez nieprawidłową konfigurację register_argc_argv

CVE-2026-28697CRITICAL9.4PL ✓ten sam produkt

Craft CMS: RCE przez SSTI w polach szablonów Twig

CVE-2026-28783CRITICAL9.4PL ✓ten sam produkt

Craft CMS: obejście bloklisty PHP w silniku Twig umożliwia RCE

CVE-2024-37843CRITICAL9.8PL ✓ten sam produkt

SQL injection w Craft CMS przez endpoint GraphQL API

CVE-2023-41892CRITICAL10.0ten sam produkt

Craft CMS is a platform for creating digital experiences. This is a high-impact, low-complexity attack vector....

CVE-2025-32432 — Krytyczny RCE w Craft CMS — zdalne wykonanie kodu bez uwierzytelnienia — CRITICAL 10.0 | CVEbaza.pl