CVE-2025-32432

Vulnérabilité Critique dans Craft CMS : Exécution de Code à Distance

Une faille de sécurité critique, identifiée sous la référence CVE-2025-32432, affecte le système de gestion de contenu Craft CMS. Cette vulnérabilité permet à des attaquants distants d’exécuter du code malveillant sur les serveurs. Elle découle d’un problème au sein du framework PHP Yii, utilisé par Craft CMS. Des attaques en “zero-day” ont été observées, où cette faille est combinée avec la vulnérabilité CVE-2024-58136 pour compromettre des serveurs, déployer des gestionnaires de fichiers malveillants, installer des portes dérobées (backdoors) et voler des données sensibles.

Points Clés :

• Type de Vulnérabilité : Exécution de Code à Distance (RCE).
• Produit Affecté : Craft CMS.
• Cause : Problème dans le framework Yii utilisé par Craft CMS.
• Impact : Permet l’exécution de code PHP arbitraire sur le serveur, pouvant mener à des compromissions complètes.
• Exploitation Observée : Utilisation en conjonction avec CVE-2024-58136 dans des attaques “zero-day” pour l’installation de malwares et l’exfiltration de données.

Vulnérabilités :

• CVE-2025-32432 : Permet l’exécution de code à distance via l’envoi de requêtes spécialement conçues.
• CVE-2024-58136 : Mentionnée comme étant utilisée en chaîne avec CVE-2025-32432 dans des attaques avancées.

Versions Affectées :

• Craft CMS versions 3.0.0-RC1 jusqu’à avant 3.9.15
• Craft CMS versions 4.0.0-RC1 jusqu’à avant 4.14.15
• Craft CMS versions 5.0.0-RC1 jusqu’à avant 5.6.17

Recommandations :

Il est fortement recommandé aux utilisateurs de Craft CMS de mettre à jour leurs installations vers les versions corrigées : 3.9.15, 4.14.15, ou 5.6.17, afin de se prémunir contre cette menace.

Source