Schwachstelle in Craft CMS und in Yii-Framework

Craft CMS enthält die Sicherheitslücke CVE-2025-32432, die einen RCE-Angriff (Remote Code Execution) möglich macht. Das Yii-Framework, das von Craft CMS genutzt wird, beherbergt die Schwachstelle CVE-2024-58136; dies ist eine Eingabevalidierungslücke. Angreifende machten sich die Kombination dieser beiden Schwachstellen zunutze. Ein Proof of Concept ist bereits veröffentlicht, was die Ausnutzung erleichtert und wahrscheinlicher macht.

CVE-2025-32432 hat den höchstmöglichen CVSS-Score von 10/10, CVE-2024-58136 ist bewertet mit 9.0/10.

Craft CMS ist ein Content-Management-System zur Verwaltung und Gestaltung von Web-Seiten. Die meisten Installationen sind in den USA, es gibt jedoch auch zahlreiche in Deutschland und anderen westeuropäischen Ländern.

Beachten Sie folgende Empfehlungen:

• Aktualisieren Sie Craft CMS auf Version 3.9.15, 4.14.15 bzw. 5.6.17.
• Aktualisieren Sie das Yii-Framework auf Version 2.0.52.
• Nutzen Sie die veröffentlichten IoCs (Indicator of Compromise), um festzustellen, ob Ihre Systeme betroffen sind (siehe Bericht von Orange Cyberdefense).