Impatto Sistemico

Alto (73.07)

Sintesi

Rilevato lo sfruttamento attivo in rete delle CVE-2025-32432 e CVE-2024-58136 relative ai prodotti Craft CMS e Yii framework.

Tipologia

Remote Code Execution

Descrizione e potenziali impatti

È stata recentemente rilevata una catena di sfruttamento delle CVE-2025-32432 e CVE-2024-58136, relative ai prodotti Craft CMS, sistema di gestione dei contenuti PHP, e al framework Yii, utilizzato da quest’ultimo.

Secondo i ricercatori, il vettore iniziale prevede lo sfruttamento della vulnerabilità CVE-2025-32432, che consente agli attaccanti di inviare una richiesta contenente un parametro ” return URL ” opportunamente predisposto, che punta a un file PHP malevolo precedentemente caricato tramite la medesima richiesta.

La seconda fase della catena di compromissione sfrutta la CVE-2024-58136 nel framework Yii. In questa fase, il file PHP viene iniettato nel server sfruttando una vulnerabilità presente nella modalità di deserializzazione del framework Yi: quando il server esegue il parametro returnUrl , carica ed esegue il codice PHP malevolo, consentendo all’attaccante di ottenere l’esecuzione di codice remoto (RCE) sul sistema target.

Questo permette all’attaccante di installare un file manager PHP nel server, compromettendo il sistema.

Prodotti e versioni affette

craftcms/cms

• dalla versione 3.0.0-RC1 alla 3.9.14
• dalla versione 4.0.0-RC1 alla 4.14.14
• dalla versione 5.0.0-RC1 alla 5.6.16

yiiframework

• dalla versione 2 alla 2.0.51

Azioni di Mitigazione

Ove non già provveduto, si raccomanda di aggiornare i prodotti vulnerabili, per i quali è stata rilasciata una patch, seguendo le indicazioni dei bollettini di sicurezza riportati nella sezione Riferimenti.