La Cybersecurity & Infrastructure Security Agency (CISA) des États-Unis avertit qu’une faille d’exécution de code à distance Craft CMS est exploitée dans les attaques.
La faille est suivie comme CVE-2025-23209 et est une vulnérabilité d’injection de code (RCE) de gravité élevée (score CVSS v3: 8,0) affectant les versions 4 et 5 du CMS Craft.
Craft CMS est un système de gestion de contenu (CMS) utilisé pour créer des sites Web et des expériences numériques personnalisées.
Peu de détails techniques sur CVE-2025-23209 sont disponibles, mais l’exploitation n’est pas facile, car elle nécessite que la clé de sécurité de l’installation ait déjà été compromise.
Dans Craft CMS, la clé de sécurité est une clé cryptographique qui sécurise les jetons d’authentification des utilisateurs, les cookies de session, les valeurs de base de données et les données d’application sensibles.
La vulnérabilité CVE-2025-23209 ne devient un problème que si un attaquant a déjà obtenu cette clé de sécurité, ce qui ouvre la voie au décryptage de données sensibles, à la génération de faux jetons d’authentification ou à l’injection et à l’exécution de code malveillant à distance.
CISA a ajouté la faille à KEV sans partager aucune information sur la portée et l’origine des attaques et qui sont les cibles.
Les agences fédérales ont jusqu’au 13 mars 2025 pour corriger la faille Craft CMS.
La faille a été corrigée dans les versions 5.5.8 et 4.13.8 de Craft, il est donc recommandé aux utilisateurs de passer à ces versions ou à une version ultérieure dès que possible.
Si vous suspectez une compromission, il est recommandé de supprimer les anciennes clés contenues dans ‘.env’ fichiers et en générer de nouveaux en utilisant la commande php craft setup / security-key. Notez que les modifications de clé rendent inaccessibles toutes les données chiffrées avec une clé précédente.
Avec CVE-2025-23209, CISA a également ajouté une vulnérabilité dans les pare-feu Palo Alto Networks (CVE-2025-0111) au catalogue de vulnérabilités exploitées connues, fixant la même date limite au 13 mars.
Il s’agit d’une vulnérabilité de lecture de fichier affectant les pare-feu PAN-OS, que le fournisseur a divulguée est exploitée par des pirates informatiques dans le cadre d’une chaîne d’exploits avec CVE-2025-0108 et CVE-2024-9474.
Pour les versions PAN-OS qui corrigent cette faille, les utilisateurs concernés peuvent consulter le bulletin de sécurité de Palo Alto Networks.