Se ha observado que los actores de amenazas explotan dos fallas de seguridad críticas recientemente reveladas en CMS artesanales en ataques de día cero para violar los servidores y obtener llegada no calificado.
Los ataques, observados por primera vez por Orange CyberDefense SensePost el 14 de febrero de 2025, implican encadenar las vulnerabilidades a continuación –
- CVE-2024-58136 (Puntuación CVSS: 9.0)-Una protección incorrecta de la defecto de ruta alternativa en el situación PHP YII utilizado por CMS artesanales que podrían explotarse para penetrar a la funcionalidad o capital restringidos (una regresión de CVE-2024-4990)
- CVE-2025-32432 (Puntuación CVSS: 10.0): una vulnerabilidad de ejecución de código remoto (RCE) en CMS de artesanía (parcheado en las versiones 3.9.15, 4.14.15 y 5.6.17)
Según la compañía de seguridad cibernética, CVE-2025-32432 reside en una función de transformación de imágenes incorporada que permite a los administradores del sitio perdurar las imágenes a un determinado formato.
“CVE-2025-32432 se podio en el hecho de que un beneficiario no autenticado podría dirigir una solicitud de publicación al punto final responsable de la transformación de la imagen y los datos en el interior de la publicación serían interpretados por el servidor”, dijo el investigador de seguridad Nicolas Bourras.
“En las versiones 3.x de CMS CMA, el ID de activo se verifica ayer de la creación del objeto de transformación, mientras que en las versiones 4.x y 5.x, la ID de activo se verifica luego. Por lo tanto, para que la explotación funcione con cada traducción de CMACT CMS, el actor de amenaza debe encontrar una ID de activo válida”.
La ID de activo, en el contexto de CMA CMS, se refiere a la forma en que se administran archivos de documentos y medios, con cada activo hexaedro una ID única.
Se ha opuesto que los actores de amenaza detrás de la campaña ejecutan múltiples solicitudes de publicación hasta que se descubre una ID de activo válida, luego de lo cual se ejecuta un script de Python para determinar si el servidor es frágil, y de ser así, descargue un archivo PHP en el servidor desde un apositorio de GitHub.
“Entre el 10 y el 11 de febrero, el actor de amenaza mejoró sus scripts al probar la descarga de Filemanager.php al servidor web varias veces con un grímpola de Python”, dijo el investigador. “El archivo filemanager.php pasó a llamarse autoload_classmap.php el 12 de febrero y se utilizó por primera vez el 14 de febrero”.
 |
Instancias vulnerables de CMS CMS por país |
A partir del 18 de abril de 2025, se han identificado 13,000 instancias vulnerables de CMS CMS, de las cuales casi 300 se han comprometido supuestamente.
“Si verifica los registros de sus firewall o los registros de servidor web y encuentra solicitudes de publicación sospechosas a las acciones/activos/producir el punto final del regulador de artesanía de transformación, específicamente con la dependencia __class en el cuerpo, entonces su sitio ha sido escaneado al menos para esta vulnerabilidad”, dijo CMS CMS en un asesor. “Esta no es una confirmación de que su sitio se haya gastado comprometido; solo se ha sondeado”.
Si hay evidencia de compromiso, se aconseja a los usuarios que actualicen las claves de seguridad, gire las credenciales de la pulvínulo de datos, restablezcan las contraseñas de los usuarios de una gran precaución y bloqueen las solicitudes maliciosas a nivel de firewall.
¡La divulgación viene como una activa! Mage Vulnerabilidad de desbordamiento de búfer de pila de día cero (CVE-2025-42599, puntaje CVSS: 9.8) ha sido de explotación activa en ataques cibernéticos dirigidos a organizaciones en Japón para conseguir la ejecución de código remoto. Se ha solucionado en la traducción 6.60.06008562.
“Si un tercero remoto envía una solicitud elaborada, puede ser posible ejecutar un código caprichoso o causar una denegación de servicio (DOS)”, dijo Qualitia en un boletín.
