Sfruttamento attivo di due vulnerabilità critiche in Craft CMS e Yii Framework
L’Agenzia per la Cybersicurezza Nazionale (ACN) ha segnalato lo sfruttamento attivo di una catena di vulnerabilità critiche che colpiscono Craft CMS (CVE-2025-32432) e il framework Yii (CVE-2024-58136), entrambi ampiamente utilizzati per la gestione di siti web e applicazioni PHP. Queste falle sono state sfruttate in attacchi zero-day che hanno già portato alla compromissione di almeno 300 server su circa 13.000 istanze vulnerabili rilevate a metà aprile 2025.
La catena di attacco inizia con lo sfruttamento della vulnerabilità di esecuzione di codice remoto (RCE) in Craft CMS, che consente a un attore non autenticato di inviare una richiesta malevola per caricare un file PHP sul server. Successivamente, viene utilizzata la vulnerabilità nel framework Yii per eseguire il codice malevolo, ottenendo così il pieno controllo del sistema target. Questo metodo permette agli attaccanti di installare strumenti di gestione remota, esfiltrare dati e potenzialmente diffondere ulteriori minacce.
Le vulnerabilità sono considerate di gravità massima: CVE-2025-32432 ha un punteggio CVSS di 10.0, mentre CVE-2024-58136 è valutata 9.0
. Entrambe sono inserite nel catalogo delle vulnerabilità note ed attivamente sfruttate (KEV) della CISA, sottolineando la necessità di una rapida mitigazione.
Le campagne di attacco sono state osservate per la prima volta a febbraio 2025 e sono state condotte con tecniche automatizzate, tra cui l’uso di script Python per individuare asset ID validi e caricare file dannosi.
Necessario aggiornare immediatamente Craft CMS alle versioni 3.9.15, 4.14.15 o 5.6.17, e di applicare le patch di sicurezza disponibili per Yii Framework. Inoltre, si consiglia di monitorare i log per richieste sospette e, in caso di compromissione, di ruotare le credenziali e rafforzare le difese di rete.