Investigadores de segurança alertam para a exploração ativa de duas novas vulnerabilidades críticas no popular sistema de gestão de conteúdos (CMS) Craft CMS. Os ataques, classificados como zero-day, estão a ser utilizados por agentes maliciosos para obter acesso não autorizado a servidores que utilizam esta plataforma.
A descoberta inicial destes ataques foi feita pela equipa SensePost da Orange Cyberdefense a 14 de fevereiro de 2025. Os atacantes estão a encadear duas falhas de segurança específicas para conseguir penetrar nos sistemas:
- CVE-2024-58136 (Pontuação CVSS: 9.0): Uma falha de proteção inadequada num caminho alternativo dentro da framework PHP Yii, utilizada pelo Craft CMS. Esta vulnerabilidade, que é uma regressão de uma falha anterior (CVE-2024-4990), pode permitir o acesso a funcionalidades ou recursos restritos.
- CVE-2025-32432 (Pontuação CVSS: 10.0): Uma vulnerabilidade de execução remota de código (RCE) diretamente no Craft CMS, que afeta a funcionalidade integrada de transformação de imagens.
As correções para estas falhas já foram disponibilizadas pela equipa do Craft CMS nas versões 3.9.15, 4.14.15 e 5.6.17.
Como funciona o ataque
Segundo Nicolas Bourras, investigador de segurança da Orange Cyberdefense, a vulnerabilidade de RCE (CVE-2025-32432) reside na forma como a funcionalidade de transformação de imagens processa os pedidos. Um utilizador não autenticado consegue enviar um pedido POST específico para o endpoint responsável por esta transformação, e os dados incluídos nesse pedido são interpretados pelo servidor.
O sucesso do ataque depende da descoberta de um 'asset ID' válido – o identificador único que o Craft CMS atribui a ficheiros e multimédia. Existe uma ligeira diferença no processo entre as versões:
- Nas versões 3.x, o 'asset ID' é verificado antes da criação do objeto de transformação.
- Nas versões 4.x e 5.x, a verificação ocorre depois.
Para garantir que o exploit funcione em todas as versões, os atacantes precisam de encontrar um 'asset ID' válido. A tática observada consiste no envio massivo de pedidos POST até que um ID válido seja descoberto.
Após encontrar um ID válido, é executado um script Python para confirmar se o servidor está vulnerável. Se a resposta for positiva, um ficheiro PHP malicioso é descarregado para o servidor a partir de um repositório no GitHub. Este ficheiro, inicialmente chamado filemanager.php, foi renomeado para autoload_classmap.php a 12 de fevereiro e começou a ser utilizado nos ataques a partir de 14 de fevereiro.
Impacto e como verificar
Até 18 de abril de 2025, estima-se que existam cerca de 13.000 instâncias do Craft CMS vulneráveis expostas online. Destas, perto de 300 já terão sido alegadamente comprometidas pelos atacantes.
A equipa do Craft CMS publicou um aviso onde aconselha os administradores a verificar os logs da firewall ou do servidor web. A presença de pedidos POST suspeitos dirigidos ao endpoint actions/assets/generate-transform, especialmente se contiverem a string __class no corpo do pedido, é um forte indicador de que o site foi, pelo menos, alvo de uma tentativa de exploração. Contudo, a presença destes logs não confirma automaticamente que o site foi comprometido, apenas que foi analisado.
Recomendações de segurança
Caso existam evidências de um compromisso bem-sucedido, as medidas recomendadas são:
- Atualizar todas as chaves de segurança.
- Rodar as credenciais de acesso à base de dados.
- Redefinir as palavras-passe de todos os utilizadores por precaução.
- Bloquear os pedidos maliciosos ao nível da firewall.
- Atualizar o Craft CMS para uma versão corrigida (3.9.15+, 4.14.15+ ou 5.6.17+) é fundamental.
Este incidente com o Craft CMS ocorre numa altura em que outra vulnerabilidade zero-day crítica (CVE-2025-42599, CVSS 9.8), desta vez no software Active! Mail, também está sob exploração ativa no Japão, permitindo execução remota de código ou ataques de negação de serviço (DoS). A correção para esta falha foi lançada na versão 6.60.06008562 do Active! Mail.
Nenhum comentário
Seja o primeiro!