Craft CMS è un sistema di gestione dei contenuti molto diffuso per la creazione di siti web personalizzati. È stata individuata una vulnerabilità di sicurezza critica che consente agli aggressori di prendere il controllo completo di un sito vulnerabile da remoto. Questo problema interessa diverse versioni principali della piattaforma e comporta un rischio elevato per qualsiasi sito che non abbia applicato gli aggiornamenti di sicurezza più recenti.
| Craft CMS |
| 2025-05-02 15:19:41 |
| Fix Available, Active Exploitation |
Riassunto tecnico
CVE-2025-32432 è una vulnerabilità critica di Esecuzione di Codice Remoto (RCE) non autenticata che interessa le versioni di Craft CMS:
- 3.0.0-RC1 to < 3.9.15
- 4.0.0-RC1 to < 4.14.15
- 5.0.0-RC1 to < 5.6.17
Il problema risiede nella gestione dell’input utente all’interno dell’endpoint generate-transform del pannello di amministrazione di Craft CMS. Un aggressore può sfruttare questa vulnerabilità inviando un payload JSON appositamente costruito in una richiesta POST, utilizzando l’injection di oggetti per istanziare classi interne di PHP in modi non previsti. Ciò comporta l’esecuzione di codice arbitrario lato server, senza richiedere autenticazione o interazione dell’utente.
La vulnerabilità deriva da una logica di deserializzazione insicura ed è un’estensione di un problema precedentemente segnalato (CVE-2023-41892), che è stato ulteriormente corretto con questo CVE.
Raccomandazioni
- Aggiornare immediatamente Craft CMS a una delle seguenti versioni sicure:
- 3.9.15
- 4.14.15
- 5.6.17
- Implementare il monitoraggio della sicurezza per rilevare richieste POST anomale a
/admin/actions/assets/generate-transform. - Limitare l’accesso al pannello di amministrazione utilizzando una whitelist di IP o una VPN se possibile.
- Considerare l’implementazione di un Web Application Firewall (WAF) per rilevare o bloccare i tentativi di deserializzazione.