安全研究人員Chocapikk近日發(fā)布了一個針對Craft CMS關(guān)鍵零日漏洞（編號CVE-2025-32432，CVSS評分為10分）的Metasploit利用模塊。該遠程代碼執(zhí)行（RCE）漏洞與Yii框架中的另一個輸入驗證漏洞（CVE-2024-58136）結(jié)合后，已被攻擊者實際用于入侵服務(wù)器并竊取敏感數(shù)據(jù)。

漏洞組合攻擊分析

CERT Orange Cyberdefense調(diào)查顯示，攻擊者通過串聯(lián)Craft CMS中的兩個零日漏洞實施入侵和數(shù)據(jù)竊取，目前相關(guān)攻擊活動仍在持續(xù)。

攻擊過程分為兩個階段：

• CVE-2025-32432 - Craft CMS遠程代碼執(zhí)行漏洞：攻擊者發(fā)送特制的HTTP請求，其中包含"return URL"參數(shù)，該參數(shù)被錯誤地保存到PHP會話文件中，隨后會話名稱會在HTTP響應(yīng)中返回。
• CVE-2024-58136 - Yii框架輸入驗證缺陷：攻擊者發(fā)送惡意JSON載荷，利用輸入驗證缺陷觸發(fā)從特制會話文件執(zhí)行PHP代碼。

攻擊影響與緩解措施

這種巧妙的漏洞組合使攻擊者能夠在受感染服務(wù)器上安裝基于PHP的文件管理器，從而獲得對系統(tǒng)的完全控制權(quán)。SensePost報告指出，攻擊者的惡意JSON載荷觸發(fā)了服務(wù)器上會話文件中的PHP代碼執(zhí)行。

目前兩個漏洞均已得到修復(fù)：

• Craft CMS在3.9.15、4.14.15和5.6.17版本中修復(fù)了CVE-2025-32432
• Yii框架于2025年4月9日發(fā)布的2.0.52版本修復(fù)了CVE-2024-58136

Craft CMS官方說明，雖然未在系統(tǒng)內(nèi)升級Yii框架，但通過自有補丁緩解了特定攻擊向量。

管理員應(yīng)急建議

懷疑系統(tǒng)可能遭到入侵的Craft CMS管理員應(yīng)立即采取以下措施：

• 運行php craft setup/security-key刷新CRAFT_SECURITY_KEY
• 輪換所有私鑰和數(shù)據(jù)庫憑證
• 強制所有用戶重置密碼：php craft resave/users --set passwordResetRequired --to "fn() => true"

由于攻擊嘗試仍在持續(xù)，情況依然嚴峻。Chocapikk發(fā)布的專用Metasploit模塊進一步降低了攻擊者的技術(shù)門檻。如需獲取包括IP地址和文件名在內(nèi)的詳細入侵指標(IOC)，請參閱完整的SensePost報告。