サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、Craft CMSに影響を与える重大な脆弱性を、既知の悪用脆弱性(KEV)カタログに公式に追加しました。
CVE-2025-32432として追跡されるこのコード注入脆弱性は、現在、野生化した活発な攻撃で悪用されています。
このコンテンツ管理システムを利用している組織は、システムのセキュリティ侵害の可能性を防ぐため、直ちに対策を適用することを強く推奨されています。
インシデント対応調査中に発見されたCVE-2025-32432は、最大CVSS v3.1重大度スコア10.0を持ち、重大な脅威として位置づけられています。
この脆弱性は、認証されていないリモート攻撃者が影響を受けるサーバー上で任意のコードを実行することを可能にします。
この高インパクト、低複雑性の攻撃ベクトルは、Craft CMSの複数の主要バージョン、特に3.x、4.x、5.xのリリースブランチに影響を与えます。
根本原因は信頼できない入力の不適切な処理に由来するもので、CWE-94としてコード生成の不適切な制御に分類されています。
技術的観点から、この脆弱性はCraft CMSのアセット変換生成機能内の安全でない逆シリアル化の問題を悪用しています。
攻撃者は、アプリケーションが安全でなく逆シリアル化するカスタムPHPオブジェクトを注入することでこの脆弱性を悪用できます。
悪用チェーンは、細工されたURLリクエストを通じてセッションファイルに悪意のあるPHPペイロードを植え付けることを含みます。
次に、攻撃者はYiiフレームワークの動作ガジェットチェーンを悪用し、generate-transformエンドポイント上のPhpManagerコンポーネントをターゲットにします。
オブジェクトインジェクション技術を利用して、攻撃者はアプリケーションに毒された入力を処理させ、注入されたコードを実行して完全なリモートコード実行機能を獲得します。
ランサムウェアグループが現在、敲迫キャンペーンでこの脆弱性を利用しているかどうかは不明なままです。
しかし、認証前の脆弱性の性質と概念実証エクスプロイトの利用可能性により、これは脅威アクターにとって魅力的なターゲットになります。
防御側は、不正なWebシェルの展開または疑わしいリバースシェル接続の環境を積極的に監視する必要があります。これらは、セキュリティ侵害の成功後の一般的な悪用後の活動です。
この深刻な脅威を軽減するため、開発者は安全でない逆シリアル化の脆弱性に対処するセキュリティアップデートをリリースしました。
この脆弱性はCraft CMSバージョン3.0.0~3.9.14、4.0.0~4.14.14、5.0.0~5.6.16の範囲に影響を与えます。
管理者は、パッチされたバージョン(3.9.15、4.14.15、5.6.17などのリリース)へのインストレーションのアップグレードを緊急に実行する必要があります。
これらのアップデートは、CVE-2023-41892として追跡されている以前に記録された脆弱性の追加の修正としても機能します。
拘束力のある運用指令(BOD)22-01の下、連邦民間執行機関は、この特定の脅威に対してネットワークを保護することが義務付けられています。
CISAは2026年3月20日にこの脆弱性をKEVカタログに公式に追加し、2026年4月3日の厳密な修復期限を設定しました。
すべての組織は、脆弱性管理の優先順位付けのためにKEVカタログを使用する必要があります。管理者は、ベンダーパッチを適用し、クラウドサービスのガイダンスに従うか、迅速な対策が利用できない場合は製品の使用を中止する必要があります。
翻訳元: https://gbhackers.com/cisa-warns-of-craft-cms-code-injection-flaw/
