نقص امنیتی با شناسه CVE-2025-23209 (امتیاز CVSS: 8.1) که بر سیستم مدیریت محتوای Craft (CMS) تأثیر میگذارد، بر اساس شواهدی مبنی بر اکسپلویت فعال توسط CISA به فهرست آسیبپذیریهای شناخته شده (KEV) افزوده شد.
این آسیبپذیری بر نسخههای 4 و 5 Craft CMS تأثیر میگذارد و در نسخههای 4.13.8 و 5.5.8 وصله شده است. CISA گفت: «Craft CMS حاوی یک آسیبپذیری تزریق کد (RCE) است که امکان اجرای کد از راه دور را فراهم میکند، زیرا نسخههای آسیبپذیر کلیدهای امنیتی کاربر را به خطر میاندازند.
بر اساس گفته Craft CMS در GitHub، تمام نسخههای وصله نشده Craft با کلید امنیتی در معرض خطر تحت تأثیر نقص امنیتی قرار دارند. به دست آوردن کلید امنیتی توسط مهاجم، راه را برای رمزگشایی دادههای حساس، تولید توکنهای احراز هویت جعلی یا تزریق و اجرای کدهای مخرب از راه دور باز میکند.
https://www.bleepingcomputer.com/news/security/cisa-flags-craft-cms-code-injection-flaw-as-exploited-in-attacks
https://thehackernews.com/2025/02/cisa-flags-craft-cms-vulnerability-cve.html
