Craft CMS یک سیستم مدیریت محتوای پیشرفته و انعطافپذیر است که به کسبوکارها و توسعهدهندگان کمک میکند تا وبسایتها و پلتفرمهای آنلاین منحصربهفرد و متناسب با نیازهای خود ایجاد کنند. به دلیل محبوبیت این پلتفرم در پروژههای سازمانی و تجاری، آسیبپذیریهای آن اهمیت بالایی دارد.
آسیبپذیری CVE-2025-32432 که اخیراً شناسایی شده است، Craft CMS را در برابر حملات اجرای کد از راه دور آسیبپذیر کرده است. با توجه به اینکه شدت این آسیبپذیری 10 است، رفع سریع آن ضروری میباشد.
جزئیات آسیبپذیری
بردار CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:L نشان میدهد که آسیبپذیری بدون نیاز به دسترسی قبلی یا تعامل کاربر و از راه دور قابل بهرهبرداری است.
پیچیدگی حمله پایین بوده و ممکن است چندین مؤلفه سیستم را تحت تأثیر قرار دهد، بهگونهای که اطلاعات حساس بهطور کامل افشا شده و امکان تغییر یا دستکاری کامل دادهها وجود دارد. همچنین این آسیبپذیری میتواند سیستم را از دسترس خارج کند.
نسخههای تحت تأثیر
- از نسخهی 3.0.0 RC1 تا قبل از 3.9.15
- از نسخهی 4.0.0 RC1 تا قبل از 4.14.15
- از نسخهی 5.0.0 RC1 تا قبل از 5.6.17
توصیههای امنیتی
- بهروزرسانی Craft CMS به نسخههای امن 3.9.15، 4.14.15 و 5.6.17 یا بالاتر
- محدود کردن دسترسی به سرور به کاربران مجاز
- محدود کردن سطح دسترسی فایلها و دایرکتوریهای سرور
منابع خبر:
[1]https://www.cvedetails.com/cve/CVE-2025-32432
[2]https://nvd.nist.gov/vuln/detail/CVE-2025-32432
[3]https://www.cve.org/CVERecord?id=CVE-2025-32432
[4]https://github.com/craftcms/cms/security/advisories/GHSA-f3gw-9ww9-jmc3
- 42