米国サイバーセキュリティ&インフラセキュリティ局(CISA)は、Craft CMSのリモートコード実行の欠陥が攻撃に悪用されていると警告している。
この欠陥はCVE-2025-23209として追跡されており、Craft CMS のバージョン 4 および 5 に影響を与える深刻度の高い(CVSS v3 スコア:8.0)コードインジェクション(RCE)の脆弱性です。
Craft CMSは、ウェブサイトやカスタムデジタルエクスペリエンスを構築するために使用されるコンテンツ管理システム(CMS)です。
CVE-2025-23209に関する技術的な詳細はあまり公開されていませんが、インストールのセキュリティキーがすでに侵害されている必要があるため、悪用は容易ではありません。
Craft CMS では、セキュリティキーはユーザー認証トークン、セッションクッキー、データベース値、機密アプリケーションデータを保護する暗号キーです。
CVE-2025-23209の脆弱性が問題となるのは、攻撃者がすでにこのセキュリティ・キーを入手している場合のみで、機密データの復号化、偽の認証トークンの生成、リモートからの悪意のあるコードの注入と実行への道が開かれる。
CISAは、攻撃の範囲や発生源、ターゲットが誰であるかについての情報を共有することなく、この欠陥をKEVに追加した。
連邦政府機関は2025年3月13日までにCraft CMSの欠陥にパッチを当てなければならない。
この欠陥はCraftのバージョン5.5.8と4.13.8でパッチが適用されているので、ユーザーはできるだけ早くこれらのリリース以降にアップグレードすることが推奨される。
危殆化が疑われる場合は、’.env’ ファイルに含まれる古い鍵を削除し、php craft setup/security-key コマンドを使って新しい鍵を生成することが推奨されます。鍵を変更すると、以前の鍵で暗号化されたデータにアクセスできなくなることに注意してください。
CISAは、CVE-2025-23209とともに、Palo Alto Networksファイアウォールの脆弱性(CVE-2025-0111)もKnown Exploited Vulnerabilityカタログに追加し、同じ期限を3月13日に設定した。
これはPAN-OSファイアウォールに影響するファイル読み取りの脆弱性で、ベンダーは、CVE-2025-0108およびCVE-2024-9474と悪用チェーンの一部としてハッカーに悪用されていると公表している。
この欠陥に対処したPAN-OSのバージョンについては、影響を受けるユーザーはパロアルトネットワークスのセキュリティ情報を確認できる。
Comments