سوءاستفادهی هکرها از نقصهای بحرانی Craft CMS
- دوشنبه, ۹ ارديبهشت ۱۴۰۴، ۰۲:۵۲ ب.ظ
به تازگی گزارشهایی مبنی بر اینکه عوامل تهدید از دو نقص امنیتی حیاتی تازه افشا شده در Craft CMS، برای نفوذ به سرورها و دسترسی غیرمجاز سوءاستفاده میکنند، منتشر شده است.
این حملات شامل زنجیرهای از آسیبپذیریها است: آسیب پذیری اول CVE-2024-58136 با امتیاز CVSS: 9.0) است و میتواند برای دسترسی به عملکردها یا منابع محدود مورد سوءاستفاده قرار گیرد. آسیب پذیری دیگر CVE-2025-32432 با امتیاز CVSS: 10.0 است که یک آسیبپذیری اجرای کد از راه دور (RCE) در Craft CMS محسوب می شود.
طبق گفتهی کارشناسان امنیتی، CVE-2025-32432 در یک ویژگی تبدیل تصویر داخلی قرار دارد که به مدیران سایت اجازه میدهد تا تصاویر را در قالب خاصی، نگه دارند. نیکولاس بوراس، محقق امنیتی در این باره، گفت: «CVE-2025-32432 به این واقعیت متکی است که یک کاربر احراز هویت نشده میتواند یک درخواست POST را به نقطه پایانی مسئول تبدیل تصویر ارسال کند و دادههای درون POST توسط سرور، تفسیر میشوند.