کشف آسیب‌پذیری در Craft CMS

به گزارش کارگروه امنیت سایبربان ؛ Craft CMS یک سیستم مدیریت محتوای پیشرفته و انعطاف‌پذیر است که به کسب‌وکارها و توسعه‌دهندگان کمک می‌کند تا وب‌سایت‌ها و پلتفرم‌های آنلاین منحصربه‌فرد و متناسب با نیازهای خود ایجاد کنند. به دلیل محبوبیت این پلتفرم در پروژه‌های سازمانی و تجاری، آسیب‌پذیری‌های آن اهمیت بالایی دارد.
آسیب‌پذیری CVE-2025-32432 که اخیراً شناسایی شده است، Craft CMS را در برابر حملات اجرای کد از راه دور آسیب‌پذیر کرده است. با توجه به اینکه شدت این آسیب‌پذیری 10 است، رفع سریع آن ضروری می‌باشد.

جزئیات آسیب‌پذیری

بردار CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:L نشان می‌دهد که آسیب‌پذیری بدون نیاز به دسترسی قبلی یا تعامل کاربر و از راه دور قابل بهره‌برداری است.
پیچیدگی حمله پایین بوده و ممکن است چندین مؤلفه سیستم را تحت تأثیر قرار دهد، به‌گونه‌ای که اطلاعات حساس به‌طور کامل افشا شده و امکان تغییر یا دستکاری کامل داده‌ها وجود دارد. همچنین این آسیب‌پذیری می‌تواند سیستم را از دسترس خارج کند.

نسخه‌های تحت تأثیر

• از نسخه‌ی 3.0.0 RC1 تا قبل از 3.9.15

• از نسخه‌ی 4.0.0 RC1 تا قبل از 4.14.15

• از نسخه‌ی 5.0.0 RC1 تا قبل از 5.6.17

توصیه‌های امنیتی

• به‌روزرسانی Craft CMS به نسخه‌های امن 3.9.15، 4.14.15 و 5.6.17 یا بالاتر

• محدود کردن دسترسی به سرور به کاربران مجاز

• محدود کردن سطح دسترسی فایل‌ها و دایرکتوری‌های سرور

منابع خبر:

[1]https://www.cvedetails.com/cve/CVE-2025-32432

[2]https://nvd.nist.gov/vuln/detail/CVE-2025-32432

[3]https://www.cve.org/CVERecord?id=CVE-2025-32432

[4]https://github.com/craftcms/cms/security/advisories/GHSA-f3gw-9ww9-jmc3