Правительство США предупреждает о серьезной уязвимости безопасности в популярном программном обеспечении CMS

Агентство кибербезопасности и защиты инфраструктуры правительства США (CISA) добавило уязвимость в Craft CMS версий 4 и 5 в свой каталог известных эксплуатируемых уязвимостей (KEV), предупреждая о возможном злоупотреблении этой уязвимостью в реальных атаках. Уязвимость представляет собой недостаток, позволяющий удалённое выполнение кода (RCE) и отслеживается как CVE-2025-23209. Однако деталей о ней известно немного, кроме того факта, что эксплуатация не является простой.

Для злоупотребления этой уязвимостью угрозовому актору сначала нужно получить ключ безопасности установки, криптографический ключ, обеспечивающий безопасность таких элементов, как токены аутентификации пользователей, файлы cookie сессий, значения баз данных и так далее. Владельцы этого бага могут дешифровать конфиденциальные данные, создавать поддельные токены аутентификации или запускать вредоносный код издалека.

Добавление уязвимости в KEV означает, что CISA располагает доказательствами использования этой уязвимости в реальных атаках. Однако детали этих атак не были раскрыты, поэтому неизвестно, кто является угрозовыми акторами или жертвами.

Срок исправления CMS — 13 марта 2025 года. Администраторам следует искать версии 5.5.8 и 4.13.8. Администраторы, подозревающие компрометацию, должны удалить старые ключи, содержащиеся в файлах '.env', и сгенерировать новые используя команду php craft setup/security-key. Также следует быть осторожным, чтобы не повредить ранее зашифрованные данные, так как новый ключ не предоставит доступ к ним.

Craft CMS — это система управления контентом, предназначенная для разработчиков и создателей контента. Компания рекламирует её как настраиваемую и интуитивно понятную платформу с мощным шаблонированием, чистой панелью управления и надежной модификацией контента.

Киберпреступники могут злоупотреблять испорченными системами управления контентом различными способами. Например, они могут перенаправлять посетителей на вредоносную страницу фишинга для кражи их конфиденциальных данных. Они также могут показывать им вредоносные рекламы или, в более крайних случаях, загружать вредоносное ПО на их компьютеры.