Агентство по кибербезопасности и защите инфраструктуры США (CISA) официально внесло критическую уязвимость в популярной системе управления контентом Craft CMS в свой каталог активно эксплуатируемых уязвимостей (Known Exploited Vulnerabilities). Данный каталог содержит перечень недостатков, используемых злоумышленниками в реальных атаках, и служит ключевым ориентиром для приоритизации мер защиты. Обнаруженная проблема, получившая идентификатор CVE-2025-32432, представляет собой критическую угрозу с максимально возможной оценкой опасности 10.0 по шкале CVSS v3.1. Её эксплуатация позволяет неавторизованным злоумышленникам выполнять произвольный код на уязвимых серверах, что фактически предоставляет им полный контроль над веб-сайтом и лежащей в его основе системой.
Детали уязвимости CVE-2025-32432
Уязвимость затрагивает широкий спектр версий платформы, включая все основные ветки разработки: с 3.0.0 по 3.9.14, с 4.0.0 по 4.14.14 и с 5.0.0 по 5.6.16. Таким образом, под угрозой оказывается огромное количество сайтов, от небольших блогов до корпоративных порталов, построенных на этой CMS. Уязвимость была обнаружена в ходе расследования реального инцидента безопасности, что подчёркивает её практическую опасность, а не только теоретический риск.
С технической точки зрения, корень проблемы лежит в некорректной обработке непроверенных входных данных, классифицируемой как CWE-94 - недостаточный контроль генерации кода. Конкретно эксплуатируется проблема небезопасной десериализации в функции генерации преобразований ресурсов Craft CMS. Десериализация - это процесс преобразования данных из формата хранения (например, строки) обратно в объект языка программирования. Если этот процесс не контролируется должным образом и применяется к данным из ненадёжного источника, злоумышленник может внедрить и выполнить произвольный код.
Механизм атаки представляет собой цепочку действий. Сначала злоумышленник, используя специально сформированный URL-запрос, размещает вредоносную полезную нагрузку на PHP в файле сессии на сервере. Далее, атака использует так называемую цепочку поведений (gadget chain) фреймворка Yii, на котором частично построена Craft CMS, нацеливаясь на компонент PhpManager в конечной точке "generate-transform". Посредством техники инъекции объекта атакующий заставляет приложение обработать отравленный файл, что приводит к выполнению внедрённого кода и получению возможностей удалённого выполнения команд. Этот вектор атаки характеризуется как высокоэффективный и низкосложный, что делает его чрезвычайно привлекательным для злоумышленников различного уровня подготовки.
На данный момент нет подтверждённых данных об использовании этой уязвимости группами, распространяющими программы-вымогатели, в своих кампаниях. Однако её главные особенности - возможность эксплуатации без предварительной аутентификации и доступность доказательств концептуальной реализации - практически гарантируют внимание со стороны широкого спектра угроз. В свою очередь, защитникам следует активно мониторить свои среды на предмет появления несанкционированных веб-оболочек (webshell) или подозрительных обратных подключений (reverse shell), которые являются типичными действиями после успешного взлома системы.
Для устранения этой серьёзной угрозы разработчики Craft CMS выпустили обновления безопасности, полностью устраняющие проблему небезопасной десериализации. Администраторам необходимо в срочном порядке обновить установленные системы до исправленных версий: 3.9.15, 4.14.15 или 5.6.17 соответственно. Эти обновления также содержат дополнительное исправление для ранее документированной уязвимости CVE-2023-41892. В случаях, когда немедленное применение патча невозможно, организациям рекомендуется следовать указаниям облачных провайдеров или рассмотреть вопрос о выводе продукта из эксплуатации до момента обеспечения безопасности.
Данный инцидент наглядно демонстрирует важность своевременного управления уязвимостями и использования таких ресурсов, как каталог KEV от CISA, для определения приоритетов. Для организаций, особенно работающих с государственными данными или критической инфраструктурой, игнорирование таких предписаний может привести не только к компрометации данных, но и к существенным регуляторным и репутационным последствиям. Эксплуатация уязвимостей в компонентах, общих для множества сайтов, остаётся одним из наиболее масштабных киберрисков, требующим от администраторов дисциплинированного и оперативного подхода к установке исправлений.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-32432
- https://www.cisa.gov/news-events/alerts/2026/03/20/cisa-adds-five-known-exploited-vulnerabilities-catalog
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog?search_api_fulltext=CVE-2025-32432
- https://github.com/craftcms/cms/security/advisories/GHSA-f3gw-9ww9-jmc3
- https://github.com/craftcms/cms/commit/e1c85441fa47eeb7c688c2053f25419bc0547b47
