Výzkumníci z Orange Cyberdefense SenePost v únoru 2025 odhalili, že se v divoké přírodě (tzv. in the wild) začaly objevovat útoky na dvě neopravené zranitelnosti v systému Craft CMS. Tento oblíbený redakční systém, používaný tisíci webovými stránkami po celém světě, se tak stal snadným cílem kyberzločinců.

Obě chyby, nyní registrované pod označením CVE-2025-32432 a CVE-2204-58136, mají kritickou závažnost. První z nich umožňuje vzdálené spuštění kódu (Remote Code Execution – RCE) s maximálním hodnocením 10 z 10. Druhá chyba spočívá v nedostatečné ochraně alternativních cest v používaném PHP frameworku Yii, což vede k možnosti obejít restrikce a přistupovat k chráněným funkcím. I tato chyba je považována za extrémně nebezpečnou, se skóre 9/10.

Závažnost situace podtrhuje i to, že CVE-2204-58136 je vlastně regresí starší chyby známé pod číslem CVE-2024-4990. Jinými slovy: problém, který byl považován za vyřešený, se znovu objevil v jiné podobě a opět ohrožuje servery po celém světě.

Zdroj: Shutterstock

Jak útoky na Craft CMS fungují?

Podrobná analýza ukázala, že útočníci zneužívají chybu v mechanismu transformace obrázků v Craft CMS. V případě verze 3.x systému je kontrola správného asset ID provedena před vytvořením objektu transformace, zatímco ve verzích 4.x a 5.x až po jeho vytvoření. Tento rozdíl umožňuje neautentizovanému uživateli odeslat speciálně vytvořený POST požadavek, který server nesprávně zpracuje, a následně spustit libovolný kód.

Klíčové pro úspěch útoku je nalezení platného identifikátoru assetu (například obrázku). Pokud ho útočník získá, může zcela obejít zabezpečení serveru a provést cokoliv – od instalace zadních vrátek přes krádež dat až po nasazení ransomwaru.

Podle analýzy bylo identifikováno přibližně 13 000 zranitelných endpointů Craft CMS. Přibližně 300 serverů už bylo podle všeho aktivně kompromitováno, což znovu ukazuje, že útočníci neztrácejí čas a rychle využívají dostupnou příležitost.

Dopady a doporučené kroky

Pokud provozujete server s Craft CMS, je naprosto zásadní okamžitě prověřit jeho stav. Hledejte jakékoliv známky kompromitace, změny v systému, neautorizované požadavky nebo neobvyklou síťovou aktivitu. Případné zjištění narušení znamená nejen obnovu serveru ze záloh, ale také nutnost rotace všech bezpečnostních klíčů, resetování databázových přístupových údajů a změnu uživatelských hesel.

Velmi doporučené je rovněž posílení firewallu a nastavení filtrování škodlivých požadavků, aby bylo ztíženo opakování útoku, i když by chyba na serveru ještě nebyla zcela odstraněna.

Záplaty pro obě zranitelnosti jsou naštěstí již k dispozici. Craft CMS vydal aktualizace verzí 3.9.15, 4.14.15 a 5.6.17. Přechod na tyto verze je v současné situaci nejen doporučený, ale přímo nezbytný, pokud chcete zabránit dalšímu možnému útoku.

Zatímco obě chyby ještě nebyly oficiálně zařazeny do katalogu CISA Known Exploited Vulnerabilities (KEV), vzhledem k rozsahu a rychlosti zneužívání lze očekávat, že se tak stane velmi brzy. To by mohlo vést k dalším varováním a případně i povinnosti patchování pro organizace podléhající regulacím kybernetické bezpečnosti.