Craft CMS ist ein weit verbreitetes Content-Management-System für die Erstellung maßgeschneiderter Websites. Es wurde eine kritische Sicherheitslücke entdeckt, die es Angreifern ermöglicht, aus der Ferne die vollständige Kontrolle über eine anfällige Website zu übernehmen. Dieses Problem betrifft mehrere Hauptversionen der Plattform und stellt ein hohes Risiko für jede Website dar, die die neuesten Sicherheitsupdates nicht angewendet hat.
| Produkt | Craft CMS |
| Datum | 02.05.2025 15:19:41 |
| Informationen |
|
Technische Zusammenfassung
CVE-2025-32432 ist eine kritische, nicht authentifizierte Remote Code Execution (RCE) Schwachstelle, die folgende Craft CMS-Versionen betrifft:
- 3.0.0-RC1 bis < 3.9.15
- 4.0.0-RC1 bis < 4.14.15
- 5.0.0-RC1 bis < 5.6.17
Das Problem liegt in der Verarbeitung von Benutzereingaben innerhalb des generate-transform-Endpunkts des Craft CMS-Administrationsbereichs. Ein Angreifer kann diese Schwachstelle ausnutzen, indem er ein speziell präpariertes JSON-Payload in einer POST-Anfrage sendet und Objekt-Injection verwendet, um interne PHP-Klassen auf unbeabsichtigte Weise zu instanziieren. Dies führt zur Ausführung von beliebigem Code auf der Serverseite, ohne dass eine Authentifizierung oder Benutzerinteraktion erforderlich ist.
Die Schwachstelle resultiert aus einer unsicheren Deserialisierungslogik und ist eine Erweiterung eines zuvor gemeldeten Problems (CVE-2023-41892), das mit diesem CVE weiter korrigiert wurde.
Empfehlungen
- Aktualisieren Sie Craft CMS sofort auf eine der folgenden sicheren Versionen:
- 3.9.15
- 4.14.15
- 5.6.17
- Implementieren Sie Sicherheitsüberwachung, um anomale POST-Anfragen an
/admin/actions/assets/generate-transformzu erkennen. - Beschränken Sie den Zugriff auf das Administrationspanel nach Möglichkeit mithilfe einer IP-Whitelist oder eines VPNs.
- Erwägen Sie den Einsatz einer Web Application Firewall (WAF), um Deserialisierungsversuche zu erkennen oder zu blockieren.
[Callforaction-THREAT-Footer]
Leave a Reply