سوءاستفاده‌ی هکرها از نقص‌های بحرانی Craft CMS

به تازگی گزارش‌هایی مبنی بر اینکه عوامل تهدید از دو نقص امنیتی حیاتی تازه افشا شده در Craft CMS، برای نفوذ به سرورها و دسترسی غیرمجاز سوءاستفاده می‌کنند، منتشر شده است.
 
این حملات شامل زنجیره‌ای از آسیب‌پذیری‌ها است: آسیب پذیری اول CVE-2024-58136 با امتیاز CVSS: 9.0)  است و می‌تواند برای دسترسی به عملکردها یا منابع محدود مورد سوءاستفاده قرار گیرد. آسیب پذیری دیگر CVE-2025-32432 با امتیاز CVSS: 10.0 است که یک آسیب‌پذیری اجرای کد از راه دور (RCE) در Craft CMS محسوب می شود.

 

طبق گفته‌ی کارشناسان امنیتی، CVE-2025-32432 در یک ویژگی تبدیل تصویر داخلی قرار دارد که به مدیران سایت اجازه می‌دهد تا تصاویر را در قالب خاصی، نگه دارند. نیکولاس بوراس، محقق امنیتی در این باره، گفت: «CVE-2025-32432 به این واقعیت متکی است که یک کاربر احراز هویت نشده می‌تواند یک درخواست POST را به نقطه پایانی مسئول تبدیل تصویر ارسال کند و داده‌های درون POST توسط سرور، تفسیر می‌شوند.