Se ha observado que los actores de amenazas explotan dos fallas de seguridad críticas recientemente reveladas en CMS artesanales en ataques de día cero para violar los servidores y obtener acceso no autorizado.
Los ataques, observados por primera vez por Orange CyberDefense SensePost el 14 de febrero de 2025, implican encadenar las vulnerabilidades a continuación –
- CVE-2024-58136 (Puntuación CVSS: 9.0)-Una protección incorrecta de la falla de ruta alternativa en el marco PHP YII utilizado por CMS artesanales que podrían explotarse para acceder a la funcionalidad o recursos restringidos (una regresión de CVE-2024-4990)
- CVE-2025-32432 (Puntuación CVSS: 10.0): una vulnerabilidad de ejecución de código remoto (RCE) en CMS de artesanía (parcheado en las versiones 3.9.15, 4.14.15 y 5.6.17)
Según la compañía de seguridad cibernética, CVE-2025-32432 reside en una función de transformación de imágenes incorporada que permite a los administradores del sitio mantener las imágenes a un determinado formato.
«CVE-2025-32432 se basa en el hecho de que un usuario no autenticado podría enviar una solicitud de publicación al punto final responsable de la transformación de la imagen y los datos dentro de la publicación serían interpretados por el servidor», dijo el investigador de seguridad Nicolas Bourras.
«En las versiones 3.x de CMS CMA, el ID de activo se verifica antes de la creación del objeto de transformación, mientras que en las versiones 4.x y 5.x, la ID de activo se verifica después. Por lo tanto, para que la explotación funcione con cada versión de CMACT CMS, el actor de amenaza debe encontrar una ID de activo válida».
La ID de activo, en el contexto de CMA CMS, se refiere a la forma en que se administran archivos de documentos y medios, con cada activo dado una ID única.
Se ha encontrado que los actores de amenaza detrás de la campaña ejecutan múltiples solicitudes de publicación hasta que se descubre una ID de activo válida, después de lo cual se ejecuta un script de Python para determinar si el servidor es vulnerable, y de ser así, descargue un archivo PHP en el servidor desde un apositorio de GitHub.
«Entre el 10 y el 11 de febrero, el actor de amenaza mejoró sus scripts al probar la descarga de Filemanager.php al servidor web varias veces con un guión de Python», dijo el investigador. «El archivo filemanager.php pasó a llamarse autoload_classmap.php el 12 de febrero y se utilizó por primera vez el 14 de febrero».
 |
|
Instancias vulnerables de CMS CMS por país |
A partir del 18 de abril de 2025, se han identificado 13,000 instancias vulnerables de CMS CMS, de las cuales casi 300 se han comprometido supuestamente.
«Si verifica los registros de sus firewall o los registros de servidor web y encuentra solicitudes de publicación sospechosas a las acciones/activos/generar el punto final del controlador de artesanía de transformación, específicamente con la cadena __class en el cuerpo, entonces su sitio ha sido escaneado al menos para esta vulnerabilidad», dijo CMS CMS en un asesor. «Esta no es una confirmación de que su sitio se haya visto comprometido; solo se ha sondeado».
Si hay evidencia de compromiso, se aconseja a los usuarios que actualicen las claves de seguridad, gire las credenciales de la base de datos, restablezcan las contraseñas de los usuarios de una gran precaución y bloqueen las solicitudes maliciosas a nivel de firewall.
¡La divulgación viene como una activa! Mage Vulnerabilidad de desbordamiento de búfer de pila de día cero (CVE-2025-42599, puntaje CVSS: 9.8) ha sido de explotación activa en ataques cibernéticos dirigidos a organizaciones en Japón para lograr la ejecución de código remoto. Se ha solucionado en la versión 6.60.06008562.
«Si un tercero remoto envía una solicitud elaborada, puede ser posible ejecutar un código arbitrario o causar una denegación de servicio (DOS)», dijo Qualitia en un boletín.