Hackers estão explorando duas falhas críticas recentemente divulgadas no Craft CMS em ataques de dia zero para invadir servidores e obter acesso não autorizado. Detectados inicialmente pela Orange Cyberdefense SensePost em 14 de fevereiro de 2025, os ataques combinam vulnerabilidades graves no framework Yii PHP usado pelo Craft CMS (CVE-2024-58136, CVSS 9.0) e uma falha de execução remota de código (CVE-2025-32432, CVSS 10.0), corrigida nas versões 3.9.15, 4.14.15 e 5.6.17.

A falha CVE-2025-32432 está relacionada à função de transformação de imagens do CMS, permitindo que usuários não autenticados enviem requisições POST que são interpretadas de forma insegura pelo servidor. Os atacantes realizam diversas tentativas até encontrar um ID de ativo válido, essencial para a exploração, e utilizam scripts Python para verificar a vulnerabilidade e instalar arquivos PHP maliciosos nos servidores. Entre 10 e 14 de fevereiro, os hackers aprimoraram seus métodos, renomeando os arquivos usados nos ataques para evitar a detecção. Até 18 de abril de 2025, cerca de 13 mil instâncias vulneráveis do Craft CMS foram identificadas, com aproximadamente 300 casos de comprometimento confirmados.

A Craft CMS alertou que, caso os registros de firewall ou servidor indiquem requisições POST suspeitas ao endpoint “actions/assets/generate-transform”, pode ter ocorrido uma tentativa de exploração. Embora o escaneamento não confirme necessariamente uma invasão, é recomendado que usuários atualizem credenciais, redefinam senhas e bloqueiem requisições maliciosas no firewall. O alerta acontece enquanto outra falha crítica, desta vez no Active! Mail (CVE-2025-42599, CVSS 9.8), também é alvo de ataques cibernéticos no Japão, permitindo a execução remota de código antes da correção lançada na versão 6.60.06008562.