Craft CMS – IoT OT Security News

CISA KEV 警告 25/06/02：ScreenConnect／ASUS Router／Craft CMS を登録

U.S. CISA adds ASUS RT-AX55 devices, Craft CMS, and ConnectWise ScreenConnect flaws to its Known Exploited Vulnerabilities catalog

2025/06/03 SecurityAffairs — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、ASUS RT-AX55／Craft CMS／ConnectWise ScreenConnect の脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに追加した。

Craft CMS の脆弱性 CVE-2025-32432：暗号通貨マイナーやランサムウェア展開で悪用

Hackers Exploit Craft CMS Vulnerability to Inject Cryptocurrency Miner Malware

2025/05/27 gbhackers — Craft Content Management System (CMS) に存在する、深刻なリモート・コード実行 (RCE) 脆弱性 CVE-2025-32432 を、脅威アクターたちが悪用しているという。この脆弱性は、2025年2月中旬に Orange Cyberdefense により発見され、その後の 2025年4月25日に公開されたものだ。認証を必要としないため、深刻度を表す CVSS スコア 10.0 と評価されている。

Craft CMS の脆弱性 CVE-2025-32432 の悪用を検出：Yii の脆弱性との連鎖が発生

Craft CMS RCE exploit chain used in zero-day attacks to steal data

2025/04/25 BleepingComputer — Craft CMS に影響を及ぼす２件の脆弱性が、ゼロデイ攻撃で連鎖的に利用され、サーバへの侵入ベクターとなり、データ窃取にいたるという攻撃が発生し、現在も悪用が続いていると、CERT Orange Cyberdefense が警告している。これらの脆弱性は、侵害を受けたサーバの調査に招集された、Orange Cyberdefense の CSIRT により発見されたものだ。

CISA KEV 警告 25/02/20：Palo Alto CVE-2025-0111 と Craft CMS CVE-2025-23209 を登録

CVE-2025-0111 & CVE-2025-23209: Palo Alto Firewalls and Craft CMS Under Active Attack

2025/02/20 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、２件の脆弱性の実際の悪用の証拠を挙げながら、Known Exploited Vulnerabilities (KEV) カタログに追加した。それらの脆弱性は、Palo Alto PAN-OSファイアウォールの CVE-2025-0111 と、Craft CMS の CVE-2025-23209 であり、ユーザー組織に対して深刻なリスクをもたらすものだ。

Craft CMS の RCE 脆弱性 CVE-2024-56145 (CVSS 9.3) が FIX：PoC も提供

CVE-2024-56145 (CVSS 9.3): Remote Code Execution Vulnerability in Craft CMS, PoC Published

2024/12/22 SecurityOnline — 人気の PHP ベース CMS である Craft CMS に、深刻な RCE 脆弱性 CVE-2024-56145 (CVSS 9.3) が存在することが、Assetnote により公表された。この脆弱性の悪用に成功した攻撃者は、特定のコンフィグ下において、認証無しでリモート・コード実行 (RCE) を達成し、影響を受けるインストールに深刻なリスクをもたらす可能性を手にする。

M	T	W	T	F	S	S
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30	31