Una vulnerabilidad está bien, pero dos conducen a un gestor de archivos: nueva técnica de ataque a Craft CMS

El equipo de respuesta a incidentes CSIRT de Orange Cyberdefense descubrió una serie masiva de intrusiones en servidores basados en Craft CMS, un popular sistema de gestión de contenidos para la creación y administración de sitios web. Al investigar la violación de una de las plataformas, los especialistas detectaron que los ciberdelincuentes estaban utilizando una combinación de dos vulnerabilidades previamente desconocidas para penetrar en la infraestructura y robar información confidencial.

La primera falla de seguridad, identificada como CVE-2025-32432, permite la ejecución remota de código. La segunda vulnerabilidad, CVE-2024-58136, reside en el framework Yii, que constituye la base de Craft CMS, y surge debido a una validación incorrecta de entradas.

El equipo de hacking ético SensePost, que forma parte de Orange Cyberdefense, reconstruyó el esquema completo del ataque. Los autores de las intrusiones explotan secuencialmente las vulnerabilidades para instalar en el servidor comprometido un gestor de archivos especializado en PHP.

La intrusión comienza con la explotación de CVE-2025-32432: el atacante forma una solicitud especial con el parámetro "return URL". La información transmitida se escribe en un archivo de sesión PHP, y su identificador se devuelve al usuario en la respuesta HTTP.

En la siguiente etapa, ya utilizando CVE-2024-58136, se envía una carga útil JSON maliciosa que activa el código PHP del archivo de sesión creado anteriormente. Este enfoque permite implementar un gestor de archivos y ampliar la presencia en la infraestructura.

Tras obtener el control del recurso, los atacantes despliegan puertas traseras adicionales y organizan canales para exportar la información robada. La descripción completa del esquema aparecerá próximamente en una publicación de la empresa.

Los desarrolladores de los componentes afectados lanzaron rápidamente parches. El equipo de Yii cerró la vulnerabilidad CVE-2024-58136 en la versión 2.0.52 del 9 de abril. Al día siguiente, los desarrolladores de Craft CMS publicaron las actualizaciones 3.9.15, 4.14.15 y 5.6.17, que neutralizan CVE-2025-32432.

Aunque Craft CMS mantiene por defecto la potencialmente peligrosa versión 2.0.51 de Yii, los analistas de Orange confirman que tras las actualizaciones, la cadena de ataque identificada pierde eficacia, ya que el fallo en el framework simplemente deja de ser explotable.

A los propietarios de recursos potencialmente comprometidos se les recomienda llevar a cabo un conjunto de medidas de protección. La tarea prioritaria es actualizar la clave de seguridad mediante el comando php craft setup/security-key y sincronizar la variable CRAFT_SECURITY_KEY en todos los entornos de trabajo.

También es necesario reemplazar las claves privadas en las variables de entorno utilizadas por servicios como S3, Stripe y otros, además de actualizar las credenciales de acceso a las bases de datos. Como medida adicional, se propone iniciar un restablecimiento forzado de las contraseñas de todos los usuarios mediante el comando php craft resave/users --set passwordResetRequired --to "fn() => true".

Un listado exhaustivo de los signos de compromiso, incluyendo direcciones de red y nombres de archivos sospechosos, está disponible en el anexo al informe de SensePost. Ya en febrero, la Agencia de Ciberseguridad de EE.UU. (CISA) había advertido sobre la explotación activa de otro grave problema en Craft CMS versiones 4 y 5 —CVE-2025-23209— que permite la inserción de código malicioso. Esta serie de incidentes señala el creciente interés de los ciberdelincuentes en esta plataforma, lo que exige a los administradores especial vigilancia y el estricto cumplimiento de las recomendaciones de los especialistas.