Craft CMS 零日漏洞 CVE-2025-32432 现可通过公开 Metasploit 模块利用

2025-11-26 21:26:12分类：人工智能阅读(57)

安全研究人员Chocapikk近日发布了一个针对Craft CMS关键零日漏洞（编号CVE-2025-32432 ，零日漏洞CVSS评分为10分）的可通开M块利Metasploit利用模块 。该远程代码执行（RCE）漏洞与Yii框架中的零日漏洞另一个输入验证漏洞（CVE-2024-58136）结合后，已被攻击者实际用于入侵服务器并窃取敏感数据 。可通开M块利

漏洞组合攻击分析

CERT Orange Cyberdefense调查显示 ，零日漏洞攻击者通过串联Craft CMS中的服务器租用可通开M块利两个零日漏洞实施入侵和数据窃取，目前相关攻击活动仍在持续 。零日漏洞

攻击过程分为两个阶段：

CVE-2025-32432 - Craft CMS远程代码执行漏洞 ：攻击者发送特制的可通开M块利HTTP请求，其中包含"return URL"参数，零日漏洞该参数被错误地保存到PHP会话文件中，可通开M块利随后会话名称会在HTTP响应中返回。云计算零日漏洞CVE-2024-58136 - Yii框架输入验证缺陷 
：攻击者发送恶意JSON载荷 ，可通开M块利利用输入验证缺陷触发从特制会话文件执行PHP代码
。零日漏洞攻击影响与缓解措施

这种巧妙的可通开M块利漏洞组合使攻击者能够在受感染服务器上安装基于PHP的文件管理器，从而获得对系统的零日漏洞完全控制权
 。亿华云SensePost报告指出，攻击者的恶意JSON载荷触发了服务器上会话文件中的PHP代码执行 。

目前两个漏洞均已得到修复 ：

Craft CMS在3.9.15、4.14.15和5.6.17版本中修复了CVE-2025-32432Yii框架于2025年4月9日发布的2.0.52版本修复了CVE-2024-58136

Craft CMS官方说明 ，源码库虽然未在系统内升级Yii框架 ，但通过自有补丁缓解了特定攻击向量 。

管理员应急建议

怀疑系统可能遭到入侵的Craft CMS管理员应立即采取以下措施 ：

运行php craft setup/security-key刷新CRAFT_SECURITY_KEY轮换所有私钥和数据库凭证强制所有用户重置密码：php craft resave/users --set passwordResetRequired --to "fn() => true"

由于攻击尝试仍在持续，情况依然严峻
。Chocapikk发布的专用Metasploit模块进一步降低了攻击者的免费模板技术门槛。如需获取包括IP地址和文件名在内的详细入侵指标(IOC)
，请参阅完整的SensePost报告
。