TokyoBlackHatNews

cyberpress.org 4分で読了

CISAがCraft CMS コード注入脆弱性の野生での悪用を警告

CISAは、CVE-2025-35939として追跡されるCraft CMSの深刻な脆弱性が現在積極的に悪用されており、認証されていない攻撃者がPHPコードをサーバー側のファイルに注入し、他の脆弱性と組み合わせられた場合にリモートコード実行の可能性があることを警告しています。

確認された野生での攻撃とCISAの既知の悪用脆弱性(KEV)カタログへのバグの含有により、連邦機関とすべてのCraft CMSユーザーは即座にパッチの適用または緩和を求められています。

CVE-2025-35939はCraft CMSの不変と想定されるウェブパラメータの外部制御問題(CWE-472)として分類されています。

この脆弱性は、Craft CMSがユーザー制御の「戻るURL」をPHPセッションファイルに適切なサニタイゼーションなしで保存し、安全で固定されたパラメータであるかのように扱うことに起因しています。

認証されていないクライアントはこの動作を悪用して、PHPペイロードを含む任意のコンテンツをWebサーバーの既知のローカルファイルパスに書き込むことができます。

適切な条件下では、論理バグのように見えるものが、攻撃者が多段階エクスプロイトで武器化できる実用的なコード注入プリミティブに変わります。

セキュリティレポートは、脅威行為者がすでにこのバグを使用して悪意のあるPHPをセッションファイルに植え込み、他の脆弱なコンポーネント経由での後の実行をセットアップしていることを指摘しています。

CVE-2025-35939CVE-2025-32432として追跡されるCraft CMSリモートコード実行パスと組み合わせられた場合、その影響は増加します。これ自体は上流のYiiフレームワーク検証問題(CVE-2024-58136)を悪用しています。

この組み合わせシナリオでは、攻撃者はまずCVE-2025-35939を使用してセッションファイルをシードし、次にCVE-2025-32432で説明されている画像変換エンドポイントロジックを悪用して、汚染されたセッションファイルをロードして実行し、完全な認証されていないRCEを達成します。

アドバイザリーはCVE-2025-35939を4.xおよび5.xラインの修正されたリリース前のCraft CMSブランチに影響すると説明しており、ベンダーパッチはバージョン4.15.3および5.7.5で出荷されています。

別途、組み合わせられたRCE脆弱性CVE-2025-32432はCraft CMS 3.0.0-RC1~3.9.14、4.0.0-RC1~4.14.14、および5.0.0-RC1~5.6.16に影響し、サポートされているジェネレーション全体での広範な露出を強調しています。

成功した悪用により、認証されていない攻撃者は基盤となるWebサーバーで任意のコード実行が可能になり、Webシェルの展開、データ盗取、横展開、および長期的なサイト侵害が可能になります。

CISAは現在ランサムウェアの使用を「不明」とリストしていますが、RCEの特性と利用可能なエクスプロイト例により、これは金銭的に動機付けられた行為者と国家に指向した行為者にとって魅力的な標的になります。

CVE-2025-35939は2025年6月2日にKEVカタログに追加され、Binding Operational Directive 22-01に沿って、米国連邦民間機関の修復期限は2025年6月23日です。

これらの機関は、ベンダー緩和策を適用するか、クラウド展開のBOD 22-01ガイダンスに従うか、修正が適用できない場合は脆弱なCraft CMSインスタンスの使用を中止する必要があります。

CISAの決定は、CVE-2025-23209など関連するCraft CMSコード注入脆弱性に関する以前のKEVアクションを反映しており、これも悪用の証拠が出現した後に厳しいタイムラインでのパッチが命令されました。

このパターンは、Craft CMSが一部の競合他社より市場シェアが小さいにもかかわらず、数万の露出したインストールと公開エクスプロイト技術の入手可能性を考えると、意味のある攻撃面を表していることを強調しています。

管理者はCraft CMS 4.15.3または5.7.5以降にすぐにアップグレードし、組み合わせられたRCE脆弱性CVE-2025-32432も修復されたバージョンを実行していることを確認する必要があります。

パッチが即座に可能でない場合、組織は露出したCraft CMSエンドポイントを一時的に無効にすること、パラメータ処理に関する厳格なWAFルールを適用すること、および管理的および画像変換機能へのアクセスを制限することを検討する必要があります。

セキュリティチームは、セッションディレクトリ内の予期しないPHPコンテンツ、画像変換エンドポイントへの異常なアクセス、およびPhpManagerガジェットチェーン経由でトリガーされたWebシェルまたはリバースシェルと一致するWebサーバーからの送信接続などのインジケータを探す必要があります。

継続的な悪用を考慮して、CISAのKEVアップデートとCraft CMSのベンダーアドバイザリーの監視は、このプラットフォームに依存する環境にとって優先事項であり続ける必要があります。

翻訳元: https://cyberpress.org/cisa-craft-cms-code-injection-flaw/

ソース: cyberpress.org
#CISA警告 #Craft CMS #CVE-2025-35939 #PHP脆弱性 #Webアプリケーション #コード注入脆弱性 #サイバー脅威 #セキュリティパッチ #リモートコード実行(RCE) #認証回避攻撃

関連記事

ロシア、政府高官のスマートフォンに外国製スパイウェアを発見

Claude Code GitHub Actionsの脆弱性によりリポジトリ侵害が可能に

KMW CCTVの深刻な脆弱性、未認証でのカメラアクセスを可能に