安全研究人員Chocapikk近日發(fā)布了一個(gè)針對(duì)Craft CMS關(guān)鍵零日漏洞（編號(hào)CVE-2025-32432，CVSS評(píng)分為10分）的Metasploit利用模塊。該遠(yuǎn)程代碼執(zhí)行（RCE）漏洞與Yii框架中的另一個(gè)輸入驗(yàn)證漏洞（CVE-2024-58136）結(jié)合后，已被攻擊者實(shí)際用于入侵服務(wù)器并竊取敏感數(shù)據(jù)。

漏洞組合攻擊分析

CERT Orange Cyberdefense調(diào)查顯示，攻擊者通過(guò)串聯(lián)Craft CMS中的兩個(gè)零日漏洞實(shí)施入侵和數(shù)據(jù)竊取，目前相關(guān)攻擊活動(dòng)仍在持續(xù)。

攻擊過(guò)程分為兩個(gè)階段：

• CVE-2025-32432 - Craft CMS遠(yuǎn)程代碼執(zhí)行漏洞：攻擊者發(fā)送特制的HTTP請(qǐng)求，其中包含"return URL"參數(shù)，該參數(shù)被錯(cuò)誤地保存到PHP會(huì)話文件中，隨后會(huì)話名稱會(huì)在HTTP響應(yīng)中返回。
• CVE-2024-58136 - Yii框架輸入驗(yàn)證缺陷：攻擊者發(fā)送惡意JSON載荷，利用輸入驗(yàn)證缺陷觸發(fā)從特制會(huì)話文件執(zhí)行PHP代碼。

攻擊影響與緩解措施

這種巧妙的漏洞組合使攻擊者能夠在受感染服務(wù)器上安裝基于PHP的文件管理器，從而獲得對(duì)系統(tǒng)的完全控制權(quán)。SensePost報(bào)告指出，攻擊者的惡意JSON載荷觸發(fā)了服務(wù)器上會(huì)話文件中的PHP代碼執(zhí)行。

目前兩個(gè)漏洞均已得到修復(fù)：

• Craft CMS在3.9.15、4.14.15和5.6.17版本中修復(fù)了CVE-2025-32432
• Yii框架于2025年4月9日發(fā)布的2.0.52版本修復(fù)了CVE-2024-58136

Craft CMS官方說(shuō)明，雖然未在系統(tǒng)內(nèi)升級(jí)Yii框架，但通過(guò)自有補(bǔ)丁緩解了特定攻擊向量。

管理員應(yīng)急建議

懷疑系統(tǒng)可能遭到入侵的Craft CMS管理員應(yīng)立即采取以下措施：

• 運(yùn)行php craft setup/security-key刷新CRAFT_SECURITY_KEY
• 輪換所有私鑰和數(shù)據(jù)庫(kù)憑證
• 強(qiáng)制所有用戶重置密碼：php craft resave/users --set passwordResetRequired --to "fn() => true"

由于攻擊嘗試仍在持續(xù)，情況依然嚴(yán)峻。Chocapikk發(fā)布的專(zhuān)用Metasploit模塊進(jìn)一步降低了攻擊者的技術(shù)門(mén)檻。如需獲取包括IP地址和文件名在內(nèi)的詳細(xì)入侵指標(biāo)(IOC)，請(qǐng)參閱完整的SensePost報(bào)告。