Craft CMS es un sistema de gestión de contenidos muy popular para la creación de sitios web personalizados. Se ha identificado una vulnerabilidad de seguridad crítica que permite a los atacantes tomar el control total de un sitio vulnerable de forma remota. Este problema afecta a varias versiones principales de la plataforma y conlleva un riesgo elevado para cualquier sitio que no haya aplicado las actualizaciones de seguridad más recientes.
| Producto | Craft CMS |
| Fecha | 2025-05-02 15:19:41 |
| Información |
|
Resumen técnico
CVE-2025-32432 es una vulnerabilidad crítica de Ejecución Remota de Código (RCE) no autenticada que afecta a las versiones de Craft CMS:
- 3.0.0-RC1 a < 3.9.15
- 4.0.0-RC1 a < 4.14.15
- 5.0.0-RC1 a < 5.6.17
El problema reside en la gestión de la entrada del usuario dentro del endpoint generate-transform del panel de administración de Craft CMS. Un atacante puede explotar esta vulnerabilidad enviando un payload JSON especialmente diseñado en una solicitud POST, utilizando la inyección de objetos para instanciar clases internas de PHP de formas no previstas. Esto conlleva la ejecución de código arbitrario en el lado del servidor, sin requerir autenticación ni interacción del usuario.
La vulnerabilidad deriva de una lógica de deserialización insegura y es una extensión de un problema reportado anteriormente (CVE-2023-41892), que ha sido corregido adicionalmente con este CVE.
Recomendaciones
- Actualizar Craft CMS inmediatamente a una de las siguientes versiones seguras:
- 3.9.15
- 4.14.15
- 5.6.17
- Implementar monitoreo de seguridad para detectar solicitudes POST anómalas a
/admin/actions/assets/generate-transform. - Limitar el acceso al panel de administración utilizando una lista blanca de IP o una VPN si es posible.
- Considerar la implementación de un Web Application Firewall (WAF) para detectar o bloquear intentos de deserialización.
[Callforaction-THREAT-Footer]