عوامل تهدید از دو نقص امنیتی حیاتی تازه افشا شده در Craft CMS جهت نفوذ به سرورها و دسترسی غیرمجاز در حملات روز صفر سوءاستفاده میکنند.
بر اساس گزارش CERT Orange Cyberdefense آسیبپذیریهای روز صفری که Craft CMS را تحت تأثیر قرار میدهند و برای نفوذ به سرور و و سرقت دادهها تحت اکسپلویت قرار گرفتهاند، به شرح زیر هستند:
- CVE-2025-32432 (امتیاز 10.0): آسیبپذیری اجرای کد از راه دور (RCE) در Craft CMS که در یک ویژگی تبدیل تصویر داخلی قرار دارد که به مدیران سایت اجازه میدهد تصاویر را در قالب خاصی نگه دارند. (در نسخههای ۳.۹.۱۵، ۴.۱۴.۱۵ و ۵.۶.۱۷ وصله شده است.)
- CVE-2024-58136 (امتیاز 9.0): آسیبپذیری اعتبارسنجی ورودی و حفاظت نامناسب از مسیر جایگزین در چارچوب Yii PHP که توسط Craft CMS استفاده میشود و میتواند برای دسترسی به عملکردها یا منابع محدود مورد سوءاستفاده قرار گیرد (رگرسیونی از CVE-2024-4990)
https://www.bleepingcomputer.com/news/security/craft-cms-rce-exploit-chain-used-in-zero-day-attacks-to-steal-data
https://thehackernews.com/2025/04/hackers-exploit-critical-craft-cms.html
