Craft CMS est un système de gestion de contenu très répandu pour la création de sites web personnalisés. Une vulnérabilité de sécurité critique a été identifiée, permettant aux attaquants de prendre le contrôle total d’un site vulnérable à distance. Ce problème affecte plusieurs versions majeures de la plateforme et représente un risque élevé pour tout site n’ayant pas appliqué les mises à jour de sécurité les plus récentes.
| Produit | Craft CMS |
| Date | 02/05/2025 15:19:41 |
| Informations |
|
Résumé technique
La CVE-2025-32432 est une vulnérabilité critique d’exécution de code à distance (RCE) non authentifiée qui affecte les versions de Craft CMS suivantes :
- 3.0.0-RC1 à < 3.9.15
- 4.0.0-RC1 à < 4.14.15
- 5.0.0-RC1 à < 5.6.17
Le problème réside dans la gestion des entrées utilisateur au sein du point de terminaison generate-transform du panneau d’administration de Craft CMS. Un attaquant peut exploiter cette vulnérabilité en envoyant une charge utile (payload) JSON spécialement conçue dans une requête POST, en utilisant l’injection d’objets pour instancier des classes internes PHP de manière non prévue. Cela entraîne l’exécution de code arbitraire côté serveur, sans nécessiter d’authentification ou d’interaction de la part de l’utilisateur.
La vulnérabilité découle d’une logique de désérialisation non sécurisée et constitue une extension d’un problème précédemment signalé (CVE-2023-41892), qui a été davantage corrigé avec cette CVE.
Recommandations
- Mettre à jour immédiatement Craft CMS vers l’une des versions sécurisées suivantes :
- 3.9.15
- 4.14.15
- 5.6.17
- Mettre en œuvre une surveillance de la sécurité pour détecter les requêtes POST anormales vers
/admin/actions/assets/generate-transform. - Restreindre l’accès au panneau d’administration en utilisant une liste blanche d’adresses IP ou un VPN si possible.
- Envisager la mise en place d’un pare-feu d’application web (WAF) pour détecter ou bloquer les tentatives de désérialisation.
[Callforaction-THREAT-Footer]
Leave a Reply