Μια κρίσιμη ευπάθεια στο Craft CMS (CVE-2025-32432) προστέθηκε στον κατάλογο Γνωστών Εκμεταλλευόμενων Ευπαθειών μετά από επιβεβαιωμένη ενεργή εκμετάλλευση στη φύση.
Συνιστάται στις ομάδες ασφαλείας και στους διαχειριστές συστήματος να αντιμετωπίσουν αυτό το ζήτημα αμέσως για να αποτρέψουν σοβαρούς παραβιασμούς του δικτύου.
Η ευπάθεια είναι ένα σοβαρό ελάττωμα εισαγωγής κώδικα, που κατηγοριοποιείται στο CWE-94, το οποίο περιλαμβάνει ακατάλληλο έλεγχο της δημιουργίας κώδικα.
Αυτός ο τύπος αδυναμίας εμφανίζεται όταν μια εφαρμογή λογισμικού αποτυγχάνει να απολυμάνει ή να επικυρώσει σωστά την είσοδο που παρέχεται από το χρήστη πριν την ερμηνεύσει ως εκτελέσιμη εντολή.
Για το Craft CMS, ένα δημοφιλές και εξαιρετικά προσαρμόσιμο σύστημα διαχείρισης περιεχομένου που χρησιμοποιείται ευρέως από τις επιχειρήσεις, αυτή η ευπάθεια ενέχει σημαντικό κίνδυνο.
Επιτρέπει σε έναν απομακρυσμένο εισβολέα χωρίς έλεγχο ταυτότητας να εκτελεί αυθαίρετο κώδικα απευθείας στον υποκείμενο διακομιστή.
Μόλις ένας εισβολέας επιτύχει με επιτυχία την απομακρυσμένη εκτέλεση κώδικα, μπορεί ουσιαστικά να αναλάβει τον πλήρη έλεγχο της επηρεαζόμενης εφαρμογής.
Αυτό το επίπεδο πρόσβασης επιτρέπει στους φορείς απειλών να τροποποιούν το περιεχόμενο του ιστότοπου, να εκμεταλλεύονται ευαίσθητες εγγραφές βάσης δεδομένων ή να δημιουργούν μια μόνιμη κερκόπορτα.
Επιπλέον, ένας παραβιασμένος διακομιστής ιστού μπορεί να χρησιμεύσει ως στρατηγικό σημείο εκκίνησης για πλευρική περιστροφή στο εσωτερικό δίκτυο ενός οργανισμού.
Με την προσθήκη του CVE-2025-32432 στον κατάλογο KEV στις 20 Μαρτίου 2026, η CISA επιβεβαίωσε ότι οι φορείς απειλών αξιοποιούν ενεργά αυτό το ελάττωμα σε επιθέσεις πραγματικού κόσμου.
Προς το παρόν, η CISA σημειώνει ότι παραμένει άγνωστο εάν αυτή η συγκεκριμένη ευπάθεια χρησιμοποιείται σε συνεχιζόμενες εκστρατείες ransomware.
Τα τρωτά σημεία εισαγωγής κώδικα και απομακρυσμένης εκτέλεσης κώδικα παραμένουν ιδιαίτερα περιζήτητα από τους φορείς απειλών, συμπεριλαμβανομένων των ομάδων που χρηματοδοτούνται από το κράτος και των μεσιτών αρχικής πρόσβασης. Οι οργανισμοί που βασίζονται στο Craft CMS πρέπει να το αντιμετωπίζουν ως απειλή υψηλής προτεραιότητας.
Τα μη επιδιορθωμένα συστήματα διαχείρισης περιεχομένου που εκτίθενται στο Διαδίκτυο είναι πολύ ορατοί στόχοι. Είναι πιθανό ήδη να σαρώνονται ενεργά και να αξιοποιούνται από αυτοματοποιημένα εργαλεία επίθεσης.
Μετριασμούς
Σύμφωνα με την δεσμευτική επιχειρησιακή οδηγία (BOD) 22-01, οι υπηρεσίες του Ομοσπονδιακού Πολιτικού Εκτελεστικού Κλάδου έχουν νομική εντολή να αποκαταστήσουν αυτήν την ευπάθεια για την προστασία των ομοσπονδιακών δικτύων.
Η CISA έχει ορίσει αυστηρή προθεσμία συμμόρφωσης έως τις 3 Απριλίου 2026, προκειμένου οι ομοσπονδιακές υπηρεσίες να εφαρμόσουν τους απαραίτητους μετριασμούς.
Ενώ αυτή η οδηγία ισχύει μόνο για κρατικούς φορείς, Η CISA προτρέπει σθεναρά όλους τους οργανισμούς του ιδιωτικού τομέα και τις παγκόσμιες επιχειρήσεις να υιοθετήσει το ίδιο επιθετικό χρονοδιάγραμμα επιδιόρθωσης.
Οι διαχειριστές συστήματος πρέπει να εφαρμόζουν αμέσως τις πιο πρόσφατες ενημερώσεις ασφαλείας που παρέχονται στις οδηγίες του προμηθευτή.
Οι οργανισμοί θα πρέπει επίσης να παρακολουθούν ενεργά τα αρχεία καταγραφής πρόσβασης στον ιστό για τυχόν ανώμαλη συμπεριφορά ή μη εξουσιοδοτημένες απόπειρες πρόσβασης διαχειριστή.
Εάν η εφαρμογή της επίσημης ενημέρωσης κώδικα δεν είναι άμεσα εφικτή, οι οργανισμοί πρέπει να ακολουθούν τις ισχύουσες οδηγίες για την ασφάλεια της υπηρεσίας cloud ή να διακόψουν προσωρινά τη χρήση του ευάλωτου προϊόντος μέχρι να τεθούν σε εφαρμογή ασφαλείς περιορισμοί.
