CVE-2025-32432

1 minute de lecture

Mis à jour : December 25, 2025

Exploitation de failles sur Craft CMS

Une vulnérabilité critique, identifiée sous la référence CVE-2025-32432, impacte le système de gestion de contenu Craft CMS. Cette faille, originaire du framework PHP Yii utilisé par Craft CMS, permet une exécution de code à distance (RCE). Les attaquants peuvent exploiter cette faille en envoyant des requêtes malveillantes, ouvrant la porte à l’exécution de code PHP indésirable sur le serveur.

Des recherches ont révélé que cette vulnérabilité est actuellement utilisée en combinaison avec une autre faille (CVE-2024-58136) dans des attaques dites “zero-day”. Ces attaques permettent aux cybercriminels de compromettre des serveurs, d’y installer des gestionnaires de fichiers basés sur PHP, d’uploader des portes dérobées (backdoors) et d’exfiltrer des données sensibles.

Points Clés :

Nature de la vulnérabilité : Exécution de code à distance (RCE).
Logiciel affecté : Craft CMS.
Origine de la faille : Problème dans le framework PHP Yii.
Utilisation actuelle : Exploitation en chaîne avec CVE-2024-58136 dans des attaques zero-day.
Conséquences : Compromission du serveur, installation de backdoors, exfiltration de données.

Vulnérabilités :

CVE-2025-32432 : Exécution de code à distance sur Craft CMS.

Recommandations :

Il est impératif de mettre à jour Craft CMS vers les versions patchées : 3.9.15 et supérieures, 4.14.15 et supérieures, ou 5.6.17 et supérieures.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-32432

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast