Deux vulnérabilités affectant Craft CMS ont été enchaînées dans des attaques zero-day pour violer des serveurs et voler des données, avec une exploitation en cours, selon CERT Orange Cyberdefense.
Les vulnérabilités ont été découvertes par Orange Cyberdefense CSIRT, qui a été appelé pour enquêter sur un serveur compromis.
Dans le cadre de l’enquête, ils ont découvert que deux vulnérabilités zero-day affectant Craft CMS avaient été exploitées pour violer le serveur:
- CVE-2025-32432: Une vulnérabilité d’exécution de code à distance (RCE) dans Craft CMS.
- CVE-2024-58136: Une faille de validation d’entrée dans le framework Yii utilisé par Craft CMS.
Selon un rapport de SensePost, l’équipe de piratage éthique d’Orange Cyberdefense, les auteurs de la menace ont enchaîné ces deux vulnérabilités pour violer les serveurs et télécharger un gestionnaire de fichiers PHP.
L’attaque commence par l’exploitation de CVE-2025-32432, qui permet aux attaquants d’envoyer une requête spécialement conçue contenant une « URL de retour » en paramètre qui est enregistrée dans un fichier de session PHP. Ce nom de session est envoyé au visiteur dans le cadre de la réponse à la requête HTTP.
La deuxième étape de l’attaque a exploité une faille dans le framework Yii (CVE-2024-58136), que Craft CMS utilise. Pour exploiter cette faille, l’attaquant a envoyé une charge utile JSON malveillante qui a provoqué l’exécution du code PHP dans le fichier de session sur le serveur.
Cela a permis à l’attaquant d’installer un gestionnaire de fichiers basé sur PHP sur le serveur pour compromettre davantage le système.
Orange a déclaré à Breachtrace qu’ils avaient vu des étapes de compromis supplémentaires, y compris des téléchargements supplémentaires de portes dérobées et l’exfiltration de données. Plus d’informations sur cette activité post-exploitation seront détaillées dans un prochain article de blog.
Les développeurs de Yii ont finalement corrigé la faille CVE-2024-58136 dans la version Yii 2.0.52 publiée le 9 avril.
Craft CMS a également corrigé la faille CVE-2025-32432 dans les versions 3.9.15, 4.14.15 et 5.6.17 le 10 avril. Bien qu’ils n’aient pas mis à jour Yii vers la dernière version du CMS Craft, Orange indique que la chaîne d’attaque est toujours corrigée.
« Aujourd’hui, la 2.0.51 (vulnérable) est toujours par défaut dans Craft. Cependant, avec le correctif CVE-2025-32432, le problème Yii ne peut pas être déclenché maintenant », a déclaré Orange à Breachtrace .
Craft CMS recommande aux administrateurs d’effectuer les étapes suivantes s’ils pensent que leur site a été compromis:
- Actualisez votre clé de sécurité au cas où elle aurait déjà été capturée. Vous pouvez exécuter la commande php craft setup / security-key et copier la variable d’environnement CRAFT_SECURITY_KEY mise à jour dans tous les environnements de production.
- Si vous avez d’autres clés privées stockées en tant que variables d’environnement (par exemple S3 ou Stripe), actualisez-les également.
- Faites pivoter vos informations d’identification de base de données.
- Par prudence, vous voudrez peut-être forcer tous vos utilisateurs à réinitialiser leurs mots de passe au cas où votre base de données serait compromise. Vous pouvez le faire en exécutant php craft resave / users set set password Reset Required to sur « fn () = > true ».
Pour obtenir des indicateurs complets de compromission, y compris les adresses IP et les noms de fichiers, vous pouvez consulter l’annexe dans le rapport de SensePost.
En février, CISA a également étiqueté une faille d’injection de code (RCE) identifiée comme CVE-2025-23209 dans Craft CMS 4 et 5 comme étant exploitée dans des attaques.