Negli ultimi mesi, Craft CMS è stato al centro dell’attenzione della comunità di sicurezza informatica a causa di due vulnerabilità critiche sfruttate attivamente da attori malevoli. Questi attacchi hanno permesso di compromettere centinaia di server e hanno messo in evidenza l’importanza di mantenere aggiornati i sistemi di gestione dei contenuti.

Le vulnerabilità individuate

Le vulnerabilità coinvolte sono CVE-2024-58136, che riguarda una debolezza nel framework PHP Yii utilizzato da Craft CMS, e CVE-2025-32432, una falla di tipo Remote Code Execution (RCE) all’interno della funzione di trasformazione delle immagini. Mentre la prima consente l’accesso non autorizzato a funzionalità o risorse riservate, la seconda permette a un attaccante di eseguire codice arbitrario da remoto, con un punteggio di gravità massima di 10 secondo la scala CVSS.

Modalità di attacco

Gli attacchi sono iniziati con l’invio di numerose richieste POST verso l’endpoint di trasformazione immagini di Craft CMS. Gli attori malevoli hanno automatizzato il processo per trovare asset ID validi, necessari per finalizzare l’exploit. Una volta identificato un asset ID valido, viene usato uno script Python per verificare la vulnerabilità del server. Se compromesso, viene scaricato ed eseguito un file PHP malevolo, inizialmente denominato filemanager.php e successivamente rinominato in autoload_classmap.php, caricato da un repository GitHub.

Impatto e rilevazione

Secondo i dati raccolti, al 18 aprile 2025 sono state identificate circa 13.000 istanze Craft CMS vulnerabili, di cui quasi 300 risultano compromesse. La compromissione può essere rilevata tramite la verifica dei log del firewall o del web server: la presenza di richieste POST sospette verso il controller actions/assets/generate-transform, specialmente con la stringa __class nel corpo della richiesta, indica almeno una scansione per la vulnerabilità.

Misure di mitigazione

Per mitigare il rischio, è fondamentale aggiornare Craft CMS alle versioni sicure (3.9.15, 4.14.15, 5.6.17) e adottare misure immediate in caso di sospetta compromissione: aggiornare chiavi di sicurezza, ruotare le credenziali del database, reimpostare le password degli utenti e bloccare le richieste malevole tramite firewall.

Questo caso di Craft CMS sottolinea quanto sia vitale monitorare costantemente le vulnerabilità zero-day e applicare tempestivamente le patch di sicurezza per proteggere i propri dati e quelli degli utenti.