Агентство CISA включило уязвимость CVE-2025-23209 в перечень эксплуатируемых рисков, что подтверждает высокий уровень угрозы.
Уязвимость с оценкой CVSS 8.1 позволяет злоумышленникам посредством инъекции кода выполнить удалённый запуск команд в системах, где нарушена защита ключей безопасности.
Обновления, выпущенные в декабре 2024 года, устраняют проблему: для Craft CMS версии 4 патч доступен начиная с версии 4.13.8, а для версии 5 – с версии 5.5.8.
Подвержены атаке все версии Craft CMS: для версии 5 – сборки от 0.0-RC1 до версии 5.5.5 (не включая её), для версии 4 – от 4.0.0-RC1 до версии 4.13.8 (не включая её).
В официальном уведомлении на GitHub отмечается, что все незапатченные версии с скомпрометированными ключами безопасности остаются уязвимыми, а при невозможности обновления рекомендуется сменить ключ и обеспечить его конфиденциальность.
Федеральные агентства гражданского управления обязаны применить исправления не позднее 13 марта 2025 года для предотвращения возможных атак.
Отдельно сообщается о дополнительной уязвимости CVE-2024-56145, способной привести к удалённому исполнению кода при включённом параметре PHP register_argc_argv; проблема, выявленная в декабре 2024 года, уже активно эксплуатируется, несмотря на отсутствие внесения в каталог KEV.
Действия по оперативному внедрению обновлений и защите ключей безопасности являются необходимой мерой для минимизации угроз и укрепления информационной безопасности систем Craft CMS.
Изображение носит иллюстративный характер
Уязвимость с оценкой CVSS 8.1 позволяет злоумышленникам посредством инъекции кода выполнить удалённый запуск команд в системах, где нарушена защита ключей безопасности.
Обновления, выпущенные в декабре 2024 года, устраняют проблему: для Craft CMS версии 4 патч доступен начиная с версии 4.13.8, а для версии 5 – с версии 5.5.8.
Подвержены атаке все версии Craft CMS: для версии 5 – сборки от 0.0-RC1 до версии 5.5.5 (не включая её), для версии 4 – от 4.0.0-RC1 до версии 4.13.8 (не включая её).
В официальном уведомлении на GitHub отмечается, что все незапатченные версии с скомпрометированными ключами безопасности остаются уязвимыми, а при невозможности обновления рекомендуется сменить ключ и обеспечить его конфиденциальность.
Федеральные агентства гражданского управления обязаны применить исправления не позднее 13 марта 2025 года для предотвращения возможных атак.
Отдельно сообщается о дополнительной уязвимости CVE-2024-56145, способной привести к удалённому исполнению кода при включённом параметре PHP register_argc_argv; проблема, выявленная в декабре 2024 года, уже активно эксплуатируется, несмотря на отсутствие внесения в каталог KEV.
Действия по оперативному внедрению обновлений и защите ключей безопасности являются необходимой мерой для минимизации угроз и укрепления информационной безопасности систем Craft CMS.
