继Command Center CVE-2025-34028 漏洞披露后,研究人员现警告另一个严重威胁:Craft CMS 中一个最高严重性漏洞,编号为 CVE-2025-32432。攻击者正将其与 Yii 框架中一个关键的输入验证漏洞 (CVE-2025-58136) 结合使用,以发动零日攻击,导致服务器入侵和数据窃取。截至 4 月中旬,约有 13,000 个 Craft CMS 实例存在漏洞,据报道至少有 300 个实例遭到入侵。
随着广泛使用的软件中漏洞的急剧增加,以及这些漏洞在现实世界攻击中的快速武器化,主动威胁检测的需求至关重要。2025年上半年,NIST记录了超过15,000个漏洞,其中许多漏洞已经考验着全球SOC团队的极限。随着网络威胁日益先进,早期检测对于领先攻击者并最大程度地减少损失至关重要。
注册 SOC Prime 平台,访问全球主动威胁源,获取实时 CTI 和精选检测内容,从而及时发现并缓解利用新兴 CVE 的攻击。点击下方“探索检测” ,探索海量 Sigma 规则库,该库按“CVE”标签筛选,并由完整的高级威胁检测和搜寻产品套件提供支持。
此外,安全专业人员还可以利用Uncoder AI——一款私有的 IDE 和威胁感知检测工程辅助工具——现在完全免费,并且 AI 功能不受令牌限制。它能够根据原始威胁报告生成检测算法,支持快速 IOC 扫描到性能优化的查询,预测 ATT&CK 标签,利用 AI 提示优化查询代码,并将其翻译成 48 种 SIEM、EDR 和数据湖语言等等。
CVE-2025-32432分析
安全研究人员发现了一个主动攻击活动,该活动利用 Craft CMS 中的两个高危漏洞串联起来,从而入侵服务器并窃取数据。经 Orange Cyberdefense 的 CSIRT确认,CVE-2025-32432 和 CVE-2024-58136 串联起来,构成主动零日攻击,通过多阶段攻击方法实现远程代码执行和服务器入侵。
此次入侵最早于2025年2月中旬被发现,始于Craft CMS中CVE-2025-32432 RCE漏洞的利用。最初,该漏洞源于内置图像转换功能的配置错误,该功能允许网站管理员将图像调整为所选格式。因此,未经身份验证的威胁行为者可能会向负责图像处理的端点发送POST请求,而POST中的数据将被服务器解释。利用此漏洞,威胁行为者可以通过精心设计包含“返回URL”参数的请求,将PHP管理器上传到目标系统。该值存储在PHP会话文件中,然后作为服务器HTTP响应的一部分返回给访问者,从而在受感染的系统上建立立足点。
在攻击的第二阶段,威胁参与者利用 Craft CMS 使用的 Yii 框架中的 CVE-2024-58136 漏洞,发送恶意 JSON 负载,并在服务器的会话文件中执行 PHP 代码。这使得基于 PHP 的文件管理器能够安装,从而进一步入侵系统。
攻击链披露后,Yii 开发人员立即在 Yii 2.0.52 版本中修复了CVE-2024-58136 漏洞。截至 2025 年 4 月 10 日,Craft CMS 还在 3.9.15、4.14.15 和 5.6.17 版本中修补了CVE-2025-32432。
为了最大限度地降低类似零日漏洞和其他已知 CVE 被利用的风险,SOC Prime 平台为安全团队提供了一套完整的产品套件,该套件基于独特的技术融合而构建,以人工智能和自动化技术为支撑,并由实时威胁情报提供支持,旨在帮助跨行业垂直领域和多样化环境的全球组织扩展其 SOC 运营。立即注册,以应对网络威胁,并掌控任何针对您企业的潜在网络攻击。
发表评论
您还未登录,请先登录。
登录