Одна уязвимость — это уже серьёзно, а две — прямая дорога к файловому менеджеру: новая атака нулевого дня на Craft CMS.

Апдейты спасают… но не всегда.

Команда CSIRT из Orange Cyberdefense обнаружила масштабную волну атак на серверы, использующие Craft CMS — популярную систему управления контентом. В ходе расследования выяснилось, что злоумышленники эксплуатировали сразу две уязвимости нулевого дня для проникновения в инфраструктуру и кражи данных.

Первая уязвимость (CVE-2025-32432) позволяет удалённо выполнять код, вторая (CVE-2024-58136) скрывается во фреймворке Yii, лежащем в основе Craft CMS, и связана с некорректной валидацией данных.

Этичные хакеры из команды SensePost восстановили полную цепочку атаки. Злоумышленники через уязвимость Craft CMS записывают вредоносный код в файл сессии, а затем через баг в Yii активируют его, устанавливая на сервер файловый PHP-менеджер для дальнейшего контроля над системой.

После захвата ресурса хакеры разворачивают бэкдоры и каналы для кражи информации. Полная техническая разбивка атаки будет опубликована позже.

Разработчики Craft CMS и Yii уже выпустили обновления, устраняющие проблемы: Yii 2.0.52 и Craft CMS версий 3.9.15, 4.14.15 и 5.6.17. После апдейта цепочка атаки становится неработоспособной.

Администраторам сайтов на Craft CMS рекомендуют срочно обновить ключ безопасности (php craft setup/security-key), пересоздать приватные ключи, сменить доступ к базам данных и принудительно сбросить пароли пользователей (php craft resave/users --set passwordResetRequired --to "fn() => true").

Ранее CISA уже предупреждало о другой серьёзной уязвимости в Craft CMS (CVE-2025-23209), а новые атаки лишь подчёркивают растущий интерес злоумышленников к этой платформе.