La Agencia de Seguridad de Entrada Severidad que afecta el Sistema de Encargo de Contenido de Craft (CMS) ha sido colaborador por la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) a su catálogo de vulnerabilidades explotadas (KEV) conocidas, basada en evidencia de explotación activa.
La vulnerabilidad en cuestión es CVE-2025-23209 (puntaje CVSS: 8.1), que impacta las versiones CMS de CMA 4 y 5. Fue abordado por los mantenedores del esquema a fines de diciembre de 2024 en las versiones 4.13.8 y 5.5.8.
“CMA CMS contiene una vulnerabilidad de inyección de código que permite la ejecución de código remoto, ya que las versiones vulnerables han comprometido las claves de seguridad de los usuarios”, dijo la agencia.
La vulnerabilidad afecta la venidero interpretación del software –
- > = 5.0.0-rc1,
- > = 4.0.0-rc1,
En un aviso publicado en GitHub, Craft CMS señaló que todas las versiones sin parpadear de Craft con una esencia de seguridad comprometida se ven afectadas por el defecto de seguridad.
“Si no puede poner al día una interpretación parcheada, volver su esencia de seguridad y avalar que su privacidad ayude a mitigar el problema”, señaló.
Actualmente no está claro cómo se comprometieron las claves de seguridad del usufructuario y en qué contexto. Para aliviar el aventura que plantea la vulnerabilidad, se recomienda que las agencias federales de rama ejecutiva civil (FCEB) apliquen las soluciones necesarias ayer del 13 de marzo de 2025.
En diciembre de 2024, CMS CMS advirtió sobre la explotación activa de otra defecto de seguridad (CVE-2024-56145) que podría dar circunstancia a la ejecución de código remoto cuando la configuración de configuración PHP `Register_ARGC_ARGV` está autorizado. La vulnerabilidad aún no se ha colaborador al catálogo KEV de CISA.