Craft CMS bajo ataque

Craft CMS, uno de los sistemas de gestión de contenido más utilizados, ha sido el objetivo de ataques activos de día cero que explotan dos vulnerabilidades críticas para comprometer servidores y extraer información sensible, según un informe de CERT Orange Cyberdefense.

Las fallas fueron detectadas por el CSIRT de Orange Cyberdefense durante una investigación forense a raíz de un servidor comprometido. En su análisis, descubrieron una cadena de explotación que combina dos vulnerabilidades:

• CVE-2025-32432: una vulnerabilidad crítica de ejecución remota de código (RCE) directamente en Craft CMS.
• CVE-2024-58136: una falla de validación de entrada en el framework Yii, utilizado por Craft CMS.

¿Cómo funciona el ataque?

De acuerdo con un informe técnico de SensePost, el equipo de hacking ético de Orange, los atacantes encadenaron ambas fallas para lograr un compromiso completo del servidor.

Etapa 1: Explotación de CVE-2025-32432

El ataque inicia con el uso de CVE-2025-32432, que permite a los atacantes enviar una solicitud HTTP especialmente diseñada con una URL de retorno como parámetro. Esta URL se almacena en un archivo de sesión PHP en el servidor, y el nombre de la sesión es devuelto al cliente como parte de la respuesta.

Esta técnica permite preparar el entorno para la siguiente etapa del ataque.

Etapa 2: Explotación de CVE-2024-58136

La segunda fase explota CVE-2024-58136, presente en versiones vulnerables del framework Yii (versión 2.0.51). El atacante envía una carga maliciosa en formato JSON, que provoca la ejecución del código PHP previamente almacenado en el archivo de sesión.

Esto permite la instalación de un administrador de archivos PHP directamente en el servidor, brindando acceso completo y persistencia al atacante.

Actividad posterior a la explotación

Según declaraciones de Orange a BleepingComputer, también se han observado acciones posteriores al compromiso, como:

• Carga de múltiples puertas traseras adicionales.
• Exfiltración de datos sensibles desde los servidores comprometidos.
• Persistencia prolongada mediante archivos ocultos en el sistema.

Un análisis más detallado de esta actividad está programado para ser publicado próximamente por SensePost.

Correcciones y versiones afectadas

Yii Framework

La falla CVE-2024-58136 fue corregida por los desarrolladores del framework Yii en la versión 2.0.52, publicada el 9 de abril de 2025.

Craft CMS

Craft CMS abordó la vulnerabilidad CVE-2025-32432 en las siguientes versiones:

• Craft CMS 3.9.15
• Craft CMS 4.14.15
• Craft CMS 5.6.17

A pesar de que Yii no fue actualizado completamente en Craft, Orange Cyberdefense confirmó que la cadena de ataque ha sido mitigada con la corrección aplicada en Craft CMS.

Citar"Aunque Yii 2.0.51 sigue presente por defecto, la solución implementada para CVE-2025-32432 impide que la vulnerabilidad de Yii sea explotada", explicó Orange.

Recomendaciones de seguridad para administradores de Craft CMS

Si sospecha que su sitio podría haber sido comprometido, Craft CMS recomienda tomar las siguientes acciones de inmediato:

1. Actualizar la clave de seguridad mediante el comando:



Luego, actualice la variable de entorno CRAFT_SECURITY_KEY en todos los entornos de producción.

2. Rotar claves privadas almacenadas en variables de entorno, como las de Amazon S3 o Stripe.

3. Cambiar las credenciales de la base de datos para evitar acceso no autorizado.

4. Forzar el restablecimiento de contraseñas de los usuarios como medida preventiva. Use el siguiente comando:



5. Consultar el apéndice del informe de SensePost, que contiene indicadores de compromiso (IOC) como direcciones IP maliciosas y nombres de archivos utilizados por los atacantes.

Antecedentes de explotación en Craft CMS

Cabe recordar que en febrero de 2025, la CISA (Agencia de Ciberseguridad e Infraestructura de EE. UU.) ya había advertido sobre otra vulnerabilidad de ejecución remota (RCE), CVE-2025-23209, también presente en Craft CMS versiones 4 y 5, la cual fue explotada activamente en entornos reales.

Mantenga su CMS actualizado

Los recientes ataques demuestran que Craft CMS continúa siendo un objetivo de alto valor para actores de amenazas que aprovechan vulnerabilidades de día cero. Las organizaciones que utilizan este CMS deben:

• Actualizar a las versiones corregidas de Craft CMS y Yii sin demora.
• Monitorear continuamente sus servidores en busca de comportamientos sospechosos.
• Implementar políticas de respuesta ante incidentes y aplicar prácticas de hardening.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta