Craft CMS

CERT Orange Cyberdefenseによると、Craft CMSに影響を与える2つの脆弱性が、ゼロデイ攻撃で連鎖的にサーバに侵入し、データを盗み出しました。

この脆弱性は、Orange CyberdefenseのCSIRTによって発見された。

調査の結果、Craft CMSに影響を与える2つのゼロデイ脆弱性が悪用され、サーバに侵入していることが判明した:

  • CVE-2025-32432:CraftCMS のリモートコード実行(RCE)の脆弱性。
  • CVE-2024-58136:Craft CMS で使用されている Yii フレームワークの入力検証の欠陥。

Orange Cyberdefenseのエシカル・ハッキング・チームであるSensePostのレポートによると、脅威者はこれらの脆弱性の両方を連鎖させてサーバーに侵入し、PHPファイル・マネージャーをアップロードしたとのことです。

この攻撃はCVE-2025-32432の悪用から始まり、攻撃者はPHPセッションファイルに保存される「戻りURL」をパラメータとして含む特別に細工されたリクエストを送信することができます。このセッション名は HTTP リクエストのレスポンスの一部として訪問者に送信されます。

Request to store return URL in Craft CMS session
Craft CMS セッションに戻り URL を保存するリクエスト
Source:SensePost

攻撃の第二段階では、Craft CMS が利用している Yii フレームワークの欠陥 (CVE-2024-58136) を利用しました。この欠陥を悪用するため、攻撃者は悪意のあるJSONペイロードを送信し、セッションファイル内のPHPコードをサーバー上で実行させました。

これにより、攻撃者はサーバー上にPHPベースのファイルマネージャーをインストールし、システムをさらに侵害することができました。

Orange社は、バックドアの追加アップロードやデータ流出など、さらなる侵害ステップが確認されたと述べています。このエクスプロイト後の活動に関する詳細な情報は、今後のブログ記事で紹介される予定です。

Yiiの開発者は最終的に、4月9日にリリースされたバージョンYii 2.0.52でCVE-2024-58136の欠陥を修正しました。

Craft CMS はまた、4月10日にバージョン 3.9.15、4.14.15、5.6.17 でCVE-2025-32432 の欠陥を修正しました。Craft CMSではYiiを最新バージョンにアップデートしなかったが、Orangeは攻撃チェーンはまだ修正されていると述べている。

“今日、2.0.51(脆弱性あり)がCraftのデフォルトのままです。しかし、CVE-2025-32432の修正により、Yiiの問題はトリガーできなくなりました。

Craft CMS は、サイトが侵害されたと思われる場合、管理者に以下の手順を実行することを推奨しています:

  • セキュリティキーが既に取得されている可能性があるので、リフレッシュしてください。php craft setup/security-keyコマンドを実行し、更新されたCRAFT_SECURITY_KEY環境変数をすべての本番環境にコピーします。
  • 環境変数として保存されている他の秘密鍵(S3やStripeなど)がある場合は、それらも更新してください。
  • データベースの認証情報をローテーションする。
  • 万が一データベースが危険にさらされた場合に備えて、全ユーザーのパスワードを強制的にリセットしておきましょう。そのためには、php craft resave/users –set passwordResetRequired –to “fn() => true “を実行してください。

IPアドレスとファイル名を含む侵害の完全な指標については、SensePostのレポートの付録を参照できる。

CISAは2月にも、Craft CMS 4および5でCVE-2025-23209として追跡されているコードインジェクション(RCE)の欠陥が攻撃で悪用されているとタグ付けしています。