Craft CMS の脆弱性 CVE-2025-32432 の悪用を検出:Yii の脆弱性との連鎖が発生

Craft CMS RCE exploit chain used in zero-day attacks to steal data

2025/04/25 BleepingComputer — Craft CMS に影響を及ぼす2件の脆弱性が、ゼロデイ攻撃で連鎖的に利用され、サーバへの侵入ベクターとなり、データ窃取にいたるという攻撃が発生し、現在も悪用が続いていると、CERT Orange Cyber​​defense が警告している。これらの脆弱性は、侵害を受けたサーバの調査に招集された、Orange Cyber​​defense の CSIRT により発見されたものだ。

調査の結果、Craft CMS に影響を及ぼす2つのゼロデイ脆弱性が悪用され、サーバへの侵入ベクターとなっていたことが判明したという。

  • CVE-2025-32432:Craft CMS のRCE の脆弱性。
  • CVE-2024-58136:Yii フレームワークの入力検証の脆弱性。

Orange Cyber​​defense の倫理ハッキング・チームである SensePost のレポートによると、これらの2つの脆弱性を連鎖的に悪用する脅威アクターは、サーバへの侵入を達成し、PHP ファイル・マネージャーをアップロードしていた。

この攻撃は、脆弱性 CVE-2025-32432 の悪用から始まる。この脆弱性の悪用に成功した攻撃者は、パラメータとして “戻り先 URL” を取り込んだリクエストを送信することが可能となり、このリクエストが PHP セッション・ファイルに保存される。続いて、このセッション名が、HTTP リクエストへのレスポンスの一部として、他の訪問者に送信される。

Request to store return URL in Craft CMS session
Request to store return URL in Craft CMS session
Source: SensePost

この攻撃の第2段階では、Craft CMS が利用する Yii フレームワークの脆弱性 CVE-2024-58136 が悪用される。この脆弱性を悪用する攻撃者は、悪意の JSON ペイロードを送信し、セッション・ファイル内の PHP コードをサーバ上で実行させる。

それにより攻撃者は、サーバ上に PHP ベースのファイル・マネージャーをインストールし、さらにシステムを侵害していく。

Orange は、バックドアの追加アップロードや、データ窃取などの、追加の侵害手順を確認したと、 BleepingComputer に述べている。このポスト・エクスプロイト詳細は、今後のブログ投稿で詳しく説明するという。

すでに Yii の開発者は、4月9日にリリースされたバージョンYii 2.0.52で、脆弱性 CVE-2024-58136 を修正している。

Craft CMS も 4月10日 の時点で、バージョン 3.9.15/4.14.15/5.6.17 をリリースし、脆弱性 CVE-2025-32432 を修正している。Craft CMS では、Yii の最新バージョンへのアップデートが行われていないが、攻撃チェーンは修正済みであると Orange は述べている。

Orange は、「現時点おいて、Yii の脆弱性が存在する Craft 2.0.51 がデフォルトで使用されているが、脆弱性 CVE-2025-32432 の修正により、脆弱性 CVE-2024-58136 の問題は発生しなくなった」と述べている。

Craft CMS が管理者に対して推奨するのは、サイトが侵害されたと思われる場合に、以下の手順を実行することだ。

  • すでにセキュリティ・キーが取得されている場合は、それを更新してほしい。 “php craft setup/security-key” コマンドを実行し、更新された CRAFT_SECURITY_KEY 環境変数を、すべての本番環境にコピーできる。
  • 他の秘密キーを、S3 や Stripe などの環境変数として保存している場合は、それらも更新してほしい。
  • データベースの認証情報をローテーションする。
  • データベースが侵害された場合に備えて、すべてのユーザーにパスワードのリセットを強制すべきである。それは、php craft resave/users –set passwordResetRequired –to “fn() => true” の実行で完了する。

IP アドレスやファイル名などの完全な侵害指標については、SensePost レポートのアペンディックスを参照してほしい。

2025年2 月に CISA は、Craft CMS 4/5 に存在する、コード・インジェクション (RCE) の脆弱性 CVE-2025-23209 が、攻撃で悪用されているとしてタグ付けしている

この記事の翌日に、脆弱性 CVE-2025-32432 のPoC エクスプロイトが GitHub に投稿されました。Metasploit モジュールとして作成されているようです。よろしければ、以下の関連記事と併せて、ご参照ください。

2025/04/14:Yii 2 の脆弱性 CVE-2024-58136 が FIX
2025/02/20:Craft CMS CVE-2025-23209 が CISA KEV に登録