Impatto Sistemico

Critico (76.28)

Sintesi

Rilasciati aggiornamenti di sicurezza che risolvono 5 nuove vulnerabilità in Craft CMS, di cui 3 con gravità “alta” e 2 per le quali risulta disponibile un PoC in rete.

Tipologia

• Remote Code Execution
• Information Leakage

Descrizione e potenziali impatti

Sono stati recentemente resi pubblici due Proof of Concept (PoC) per lo sfruttamento delle CVE-2025-68437 e CVE-2025-68455 in Craft CMS.

Nel dettaglio, la CVE-2025-68437 riguarda la mutazione “ save_<VolumeName>_Asset ” di Craft CMS GraphQL, ed è causata da una validazione incompleta del parametro “ url” . Tale vulnerabilità potrebbe consentire a utenti malintenzionati, tramite richieste opportunamente predisposte, di accedere a informazioni sensibili sui sistemi interessati .

La CVE-2025-68455, invece, riguarda il framework Yii, e potrebbe consentire a utenti malintenzionati con accesso amministrativo al Craft Control Panel di eseguire codice arbitrario tramite l’invio di payload opportunamente predisposti.

Prodotti e/o versioni affette

Craft CMS

• versioni dalla 3.5.0 e successive e precedenti alla 4.16.17
• 5.x, versioni precedenti alla 5.8.21

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza disponibile nella sezione Riferimenti.