Craft CMS零日漏洞CVE-2025-32432现可通过公开Metasploit模块利用
字数 1349 2025-08-29 22:41:38

Craft CMS零日漏洞CVE-2025-32432分析与防护指南

漏洞概述

CVE-2025-32432是一个影响Craft CMS的关键零日漏洞,CVSS评分为10分(最高危险级别)。该漏洞与Yii框架中的另一个输入验证漏洞(CVE-2024-58136)结合使用,已被攻击者实际用于入侵服务器并窃取敏感数据。

漏洞组合攻击分析

攻击者通过串联两个漏洞实施入侵:

  1. CVE-2025-32432 - Craft CMS远程代码执行漏洞

    • 攻击者发送特制的HTTP请求,其中包含"return URL"参数
    • 该参数被错误地保存到PHP会话文件中
    • 会话名称会在HTTP响应中返回

  2. CVE-2024-58136 - Yii框架输入验证缺陷

    • 攻击者发送恶意JSON载荷
    • 利用输入验证缺陷触发从特制会话文件执行PHP代码

攻击影响

这种漏洞组合使攻击者能够:

  • 在受感染服务器上安装基于PHP的文件管理器
  • 获得对系统的完全控制权
  • 窃取敏感数据

SensePost报告指出,攻击者的恶意JSON载荷触发了服务器上会话文件中的PHP代码执行。

漏洞修复情况

漏洞 修复版本 修复时间
CVE-2025-32432 (Craft CMS) 3.9.15、4.14.15和5.6.17 2025年4月
CVE-2024-58136 (Yii框架) 2.0.52 2025年4月9日

Craft CMS官方说明,虽然未在系统内升级Yii框架,但通过自有补丁缓解了特定攻击向量。

应急响应措施

1. 立即升级系统

  • 将Craft CMS升级到以下安全版本之一:
    • 3.9.15
    • 4.14.15
    • 5.6.17
  • 确保Yii框架升级到2.0.52或更高版本

2. 怀疑系统已遭入侵时的紧急措施

  1. 刷新安全密钥:

    php craft setup/security-key

  2. 轮换所有私钥和数据库凭证

  3. 强制所有用户重置密码:

    php craft resave/users --set passwordResetRequired --to "fn() => true"

3. 其他安全建议

  • 检查服务器日志中是否有可疑活动
  • 审查所有PHP会话文件
  • 检查是否有未知的文件管理器或其他后门程序
  • 考虑实施Web应用防火墙(WAF)规则来阻止已知的攻击模式

攻击技术细节

Metasploit模块利用

安全研究人员Chocapikk已发布针对该漏洞的Metasploit利用模块,这大大降低了攻击者的技术门槛。

攻击指标(IOC)

管理员应参考SensePost完整报告获取详细的入侵指标,包括:

  • 攻击者使用的IP地址
  • 恶意文件名模式
  • 其他相关指纹信息

长期防护策略

  1. 定期更新:建立定期检查和应用安全更新的流程
  2. 最小权限原则:确保Craft CMS运行在最小必要权限下
  3. 日志监控:实施全面的日志收集和分析
  4. 备份策略:确保有可用的、干净的备份
  5. 安全审计:定期进行安全审计和渗透测试

参考资源

  • Craft CMS官方安全公告
  • Yii框架安全更新说明
  • SensePost完整技术报告
  • CERT Orange Cyberdefense调查报告

结论

CVE-2025-32432与CVE-2024-58136的组合攻击构成了严重威胁,攻击活动仍在持续。管理员应立即采取行动升级系统并实施上述安全措施,以保护其Craft CMS安装免受攻击。

Craft CMS零日漏洞CVE-2025-32432分析与防护指南 漏洞概述 CVE-2025-32432是一个影响Craft CMS的关键零日漏洞,CVSS评分为10分(最高危险级别)。该漏洞与Yii框架中的另一个输入验证漏洞(CVE-2024-58136)结合使用,已被攻击者实际用于入侵服务器并窃取敏感数据。 漏洞组合攻击分析 攻击者通过串联两个漏洞实施入侵: CVE-2025-32432 - Craft CMS远程代码执行漏洞 攻击者发送特制的HTTP请求,其中包含"return URL"参数 该参数被错误地保存到PHP会话文件中 会话名称会在HTTP响应中返回 CVE-2024-58136 - Yii框架输入验证缺陷 攻击者发送恶意JSON载荷 利用输入验证缺陷触发从特制会话文件执行PHP代码 攻击影响 这种漏洞组合使攻击者能够: 在受感染服务器上安装基于PHP的文件管理器 获得对系统的完全控制权 窃取敏感数据 SensePost报告指出,攻击者的恶意JSON载荷触发了服务器上会话文件中的PHP代码执行。 漏洞修复情况 | 漏洞 | 修复版本 | 修复时间 | |------|---------|---------| | CVE-2025-32432 (Craft CMS) | 3.9.15、4.14.15和5.6.17 | 2025年4月 | | CVE-2024-58136 (Yii框架) | 2.0.52 | 2025年4月9日 | Craft CMS官方说明,虽然未在系统内升级Yii框架,但通过自有补丁缓解了特定攻击向量。 应急响应措施 1. 立即升级系统 将Craft CMS升级到以下安全版本之一: 3.9.15 4.14.15 5.6.17 确保Yii框架升级到2.0.52或更高版本 2. 怀疑系统已遭入侵时的紧急措施 刷新安全密钥: 轮换所有私钥和数据库凭证 强制所有用户重置密码: 3. 其他安全建议 检查服务器日志中是否有可疑活动 审查所有PHP会话文件 检查是否有未知的文件管理器或其他后门程序 考虑实施Web应用防火墙(WAF)规则来阻止已知的攻击模式 攻击技术细节 Metasploit模块利用 安全研究人员Chocapikk已发布针对该漏洞的Metasploit利用模块,这大大降低了攻击者的技术门槛。 攻击指标(IOC) 管理员应参考SensePost完整报告获取详细的入侵指标,包括: 攻击者使用的IP地址 恶意文件名模式 其他相关指纹信息 长期防护策略 定期更新 :建立定期检查和应用安全更新的流程 最小权限原则 :确保Craft CMS运行在最小必要权限下 日志监控 :实施全面的日志收集和分析 备份策略 :确保有可用的、干净的备份 安全审计 :定期进行安全审计和渗透测试 参考资源 Craft CMS官方安全公告 Yii框架安全更新说明 SensePost完整技术报告 CERT Orange Cyberdefense调查报告 结论 CVE-2025-32432与CVE-2024-58136的组合攻击构成了严重威胁,攻击活动仍在持续。管理员应立即采取行动升级系统并实施上述安全措施,以保护其Craft CMS安装免受攻击。