Craft CMS sotto attacco: sfruttamento attivo delle vulnerabilità CVE-2024-56145 e CVE-2025-35939
L’Agenzia per la Cybersicurezza Nazionale (ACN) ha segnalato lo sfruttamento attivo di due gravi vulnerabilità che colpiscono Craft CMS, una delle piattaforme di gestione dei contenuti web più diffuse. Le falle, identificate come CVE-2024-56145 e CVE-2025-35939, permettono ad attori malevoli di eseguire codice arbitrario sui server vulnerabili, mettendo a rischio la riservatezza, l’integrità e la disponibilità dei dati gestiti dai siti web basati su Craft CMS.
CVE-2024-56145 è una vulnerabilità di code injection che consente l’esecuzione di codice remoto (RCE) quando l’opzione register_argc_argv è abilitata nel file di configurazione php.ini.
Nonostante un punteggio CVSS ufficiale basso, la presenza di exploit attivi e la facilità di sfruttamento rendono questa falla particolarmente pericolosa. Sono già disponibili moduli di exploit pubblici e proof-of-concept, e la vulnerabilità è stata inserita nel catalogo CISA delle vulnerabilità note ad alto rischio. Si raccomanda di aggiornare Craft CMS alle versioni 3.9.14, 4.13.2 o 5.5.2, oppure di disabilitare la direttiva PHP vulnerabile per mitigare il rischio.
CVE-2025-35939 riguarda la gestione impropria dei dati di sessione: Craft CMS memorizza contenuti arbitrari forniti anche da utenti non autenticati nei file di sessione, che possono essere successivamente letti ed eseguiti. Questo apre la strada a possibili attacchi di esecuzione di codice, anche senza autenticazione, e rappresenta una minaccia concreta per tutti i siti che non hanno ancora applicato le patch di sicurezza.
Le autorità e gli esperti di sicurezza sottolineano la necessità di intervenire tempestivamente: è fondamentale aggiornare Craft CMS alle versioni più recenti e rafforzare il monitoraggio dei sistemi per individuare eventuali compromissioni.
Gli amministratori che non possono aggiornare immediatamente devono applicare le mitigazioni suggerite dai vendor e valutare l’eventuale disattivazione delle funzionalità vulnerabili.
Le campagne di attacco sono già in corso e mirano sia a siti istituzionali sia a portali aziendali, sfruttando la semplicità e l’impatto delle vulnerabilità. La situazione è in rapida evoluzione: si raccomanda di seguire gli aggiornamenti delle autorità competenti e di adottare tutte le misure preventive per ridurre il rischio di compromissione.