Craft CMS 零日漏洞 CVE-2025-32432 现可通过公开 Metasploit 模块利用
发布时间:2025-11-05 03:44:37 来源:云智核 作者:人工智能
安全研究人员Chocapikk近日发布了一个针对Craft CMS关键零日漏洞(编号CVE-2025-32432,零日漏洞CVSS评分为10分)的可通开M块利Metasploit利用模块。该远程代码执行(RCE)漏洞与Yii框架中的零日漏洞另一个输入验证漏洞(CVE-2024-58136)结合后,已被攻击者实际用于入侵服务器并窃取敏感数据。可通开M块利
CERT Orange Cyberdefense调查显示,零日漏洞攻击者通过串联Craft CMS中的可通开M块利两个零日漏洞实施入侵和数据窃取,目前相关攻击活动仍在持续。零日漏洞
攻击过程分为两个阶段:
CVE-2025-32432 - Craft CMS远程代码执行漏洞:攻击者发送特制的可通开M块利HTTP请求,其中包含"return URL"参数,零日漏洞该参数被错误地保存到PHP会话文件中,可通开M块利随后会话名称会在HTTP响应中返回。站群服务器零日漏洞CVE-2024-58136 - Yii框架输入验证缺陷:攻击者发送恶意JSON载荷,可通开M块利利用输入验证缺陷触发从特制会话文件执行PHP代码。零日漏洞攻击影响与缓解措施这种巧妙的可通开M块利漏洞组合使攻击者能够在受感染服务器上安装基于PHP的文件管理器,从而获得对系统的零日漏洞完全控制权。SensePost报告指出,攻击者的恶意JSON载荷触发了服务器上会话文件中的PHP代码执行。
目前两个漏洞均已得到修复:
Craft CMS在3.9.15、4.14.15和5.6.17版本中修复了CVE-2025-32432Yii框架于2025年4月9日发布的2.0.52版本修复了CVE-2024-58136Craft CMS官方说明,云南idc服务商虽然未在系统内升级Yii框架,但通过自有补丁缓解了特定攻击向量。
管理员应急建议怀疑系统可能遭到入侵的Craft CMS管理员应立即采取以下措施:
运行php craft setup/security-key刷新CRAFT_SECURITY_KEY轮换所有私钥和数据库凭证强制所有用户重置密码:php craft resave/users --set passwordResetRequired --to "fn() => true"由于攻击尝试仍在持续,情况依然严峻。Chocapikk发布的专用Metasploit模块进一步降低了攻击者的技术门槛。如需获取包括IP地址和文件名在内的详细入侵指标(IOC),请参阅完整的SensePost报告。
- 轻松学会以戴尔电脑分区桌面教程(简明易懂,快速操作)
- CISO年终总结:2024年网络安全领域的关键洞察与趋势
- 揭秘MySQL中“where 1=1”的神秘面纱:性能影响究竟几何?
- 后记:数据库的事务是一个非常重要的特性,这篇漫画主要讲它的实现原理,尤其是在极端情况下(如断电)如何保
- k4450分区教程(详细介绍如何使用k4450进行分区,并解决常见问题)
- 新型恶意软件能利用 LogoFAIL 漏洞感染 Linux 系统
- 计算机最魔幻的事情就是它能感知到你的思想
- 揭秘网络危机模拟:现场vs.虚拟,未来创新何在?
- 电脑扬声器没有声音的设置方法(解决电脑扬声器无声的问题,让音频正常播放)
- 年终盘点:2024年炙手可热的十家网络安全初创公司
源码下载企商汇香港云服务器IT资讯网亿华云源码库IT技术网服务器租用益华科技益强IT技术网益强前沿资讯技术快报亿华云计算思维库码力社亿华云汇智坊科技前瞻云站无忧益强编程堂亿华智造亿华智慧云创站工坊益华IT技术论坛极客编程益强科技益华科技亿华灵动益强数据堂益华科技益强资讯优选云智核IT资讯网益强编程舍运维纵横亿华科技亿华互联益强智未来益强科技智能时代益强智囊团极客码头
- Copyright © 2025 Powered by Craft CMS 零日漏洞 CVE-2025-32432 现可通过公开 Metasploit 模块利用,云智核 滇ICP备2023006006号-28sitemap