A equipe de resposta a incidentes do CSIRT da Orange Cyberdefense identificou uma série de ataques em larga escala contra servidores que utilizam o Craft CMS, sistema popular para criação e administração de sites. As intrusões exploraram duas vulnerabilidades inéditas: CVE-2025-32432, que permite execução remota de código, e CVE-2024-58136, relacionada à validação incorreta de entradas no framework Yii, que sustenta o CMS.
Leia também
Relatório alerta para riscos da IA na nuvem
GenAI consegue empregos para Coreia do Norte
Segundo a equipe da SensePost, os atacantes primeiro exploram o CVE-2025-32432 para injetar dados maliciosos no arquivo de sessão PHP do servidor. Em seguida, utilizando o CVE-2024-58136, enviam uma carga JSON que ativa o código PHP gravado, instalando um gerenciador de arquivos no sistema e possibilitando a expansão do ataque. Após o comprometimento, backdoors são implantados para o roubo de informações.
Patches para ambas as vulnerabilidades foram lançados rapidamente. O Yii corrigiu o CVE-2024-58136 na versão 2.0.52, enquanto o Craft CMS publicou atualizações específicas para cada linha de desenvolvimento. A Orange Cyberdefense recomenda atualizar imediatamente as chaves de segurança, substituir variáveis de ambiente sensíveis, atualizar detalhes de acesso ao banco de dados e forçar a redefinição de senhas dos usuários.
O relatório também disponibiliza uma lista de indicadores de comprometimento. A recente sequência de vulnerabilidades exploradas no Craft CMS destaca o aumento do interesse de cibercriminosos pela plataforma, exigindo vigilância reforçada por parte dos administradores.
