Select your country

Not finding what you are looking for, select your country from our regional selector:

Rechercher

Les rapports du CERT : découverte de plusieurs vulnérabilités au cœur d'un logiciel de publication CMS

Plusieurs personnes travaillant ensemble échangent des informations de manière conviviale.

L'essentiel de votre hack'tu cybersécurité

  • Deux nouvelles vulnérabilités au coeur d'un outil CMS ont été découvertes par les équipes de réponse sur incident (CSIRT) d'Orange Cyberdefense ;  
  • Les recommandations du CSIRT ont permis à l'éditeur du logiciel impacté d'adresser des correctifs ; 
  • Ces deux nouvelles failles ont été identifiées et répertoriées au sein de la base de données en Cyber Threat Intelligence. 

Un travail collectif d'analyse et d'enquête entre les équipes d'Orange Cyberdefense et la société Onyphe

Suite à la découverte de deux vulnérabilités au sein du système de gestion de contenu Craft CMS, permettant l'exécution d'un code arbitraire, le CERT Orange Cyberdefense a sollicité la société Onyphe afin d'identifier les instances vulnérables sur Internet.

Deux nouvelles vulnérabilités critiques découvertes

Au cours du mois de février 2025, les équipes du CSIRT (« Computer Security Incident Response Team ») d’Orange Cyberdefense ont été mandatées pour enquêter sur une activité suspecte. L'objet de l'enquête : comprendre comment le serveur du client - utilisant le logiciel Craft CMS - avait été compromis. Cette analyse a permis de découvrir deux vulnérabilités, jusqu'alors non référencées dans le logiciel, qui permettent à des cyberattaquants d’exécuter du code malveillant. Une pratique identifiée sous le nom de « RCE » pour « Remote Code Execution ». 

Les failles de cybersécurité d'un CMS exploitées par des cybercriminels : plusieurs milliers de serveurs vulnérables à travers le monde

Craft CMS est un système de gestion de contenu moderne, flexible et orienté développeur. Il permet la création de sites web personnalisés grâce à une structure entièrement personnalisable et à un moteur de templates. Ce CMS a une part de marché relativement faible comparée à d'autres solutions phares du marché. Mais il est néanmoins utilisé par des dizaines de milliers de sites web.

La semaine dernière, sur 35 000 serveurs, au moins 13 000, principalement situés aux États-Unis, ont été identifiés comme impactés par les deux vulnérabilités découvertes. En recherchant des fichiers spécifiques précédemment catalogués comme malveillants, 300 instances compromises avaient également pu être identifiées par nos services. Voici les deux vulnérabilités qui ont été découvertes, identifiées et répertoriées au sein de notre base de données : 

  • La première vulnérabilité, identifiée comme CVE-2025-32432, permet à un attaquant d'accéder aux ressources d'administration sans être authentifié. Celui-ci peut alors potentiellement écrire du code arbitraire dans un fichier du serveur. Lors des attaques observées par nos équipes, les attaquants ont injecté du code PHP malveillant via une URL spécialement conçue, dont les paramètres donnaient accès à une page spécifique du panneau d'administration. A l’aide de cette requête GET - un type de requête HTTP utilisée pour demander des données à un serveur - l’attaquant a téléchargé un fichier malveillant depuis un dépôt GitHub, une plateforme collaborative dédiée aux développeurs et codeurs informatiques ;  
  • La seconde vulnérabilité, référencée sous l’identifiant CVE-2024-58136, se situe au niveau du framework PHP Yii 2. Elle permet à un attaquant d'exécuter du code arbitraire. Craft CMS étant basé sur le framework PHP Yii, les vulnérabilités affectant Yii peuvent également impacter Craft CMS.

La Cyber Threat Intelligence au service de la communauté

Conscientes des risques, les équipes d’Orange Cyberdefense ont collaboré pour divulguer et documenter de façon responsable les vulnérabilités affectant Craft CMS. Grâce aux travaux et recommandations transmis par nos équipes, l’éditeur du CMS a pu avertir ses utilisateurs afin qu'ils appliquent les correctifs au plus vite. Les équipes d'Orange Cyberdefense ont également publié des indicateurs de compromissions permettant d'identifier toute compromission initiale d'une installation Craft CMS, par les attaquants en lien avec ces vulnérabilités.

Le département de sécurité intérieur américain (« CISA ») a par ailleurs récemment référencé ces vulnérabilités dans son catalogue « KEV » (« Know Exploited Vulnerabilities »).

Sources et notes

« CVE-2025-32432 – 0day Craft CMS découverte par Orange Cyberdefense », Patrice Auffret, 25 avril 2025, Onyphe : https://blog.onyphe.io/cve-2025-32432-0day-craft-cms-decouverte-par-orange-cyberdefense/

« Craft CMS RCE exploit chain used in zero-day attackes to steal data », Lawrence Abrams, 25 avril 2025, Bleepingcomputer.com : https://www.bleepingcomputer.com/news/security/craft-cms-rce-exploit-chain-used-in-zero-day-attacks-to-steal-data/

« Intrusions chaining critical Craft CMS », 28 avril 2025, SC Media : https://www.scworld.com/brief/intrusions-chaining-critical-craft-cms-zero-days-ongoing 

« Une vulnérabilité critique affecte Craft CMS », Valéry Rieb-Marchive, 28 avril 2025, LeMagIt : https://www.lemagit.fr/actualites/366623252/Une-vulnerabilite-critique-affecte-Craft-CMS 

« Hackers Exploit Critical Craft CMS Flaws; Hundreds of servers likely compromised », Ravie Lakshmann, 28 avril 2025, TheHackerNews.com : https://thehackernews.com/2025/04/hackers-exploit-critical-craft-cms.html?m=1 

« Craft CMS Zero day CVE-2025-32432 Exploited with Metasploit module now public », Ddos, 28 Avril 2025, Security online.info : https://securityonline.info/craft-cms-zero-day-cve-2025-32432-exploited-with-metasploit-module-now-public/ 

« Attackers chained craft CMS zero-days attacks in the wild », Pierluigi Paganini, 28 avril 2025, Security Affairs : 
https://securityaffairs.com/177085/hacking/attackers-chained-craft-cms-zero-days-attacks-in-the-wild.html  

« CISA adds two known exploited vulnerabilities to catalog », 02 mai 2025, CISA.gov : www.cisa.gov/news-events/alerts/2025/05/02/cisa-adds-two-known-exploited-vulnerabilities-
catalog   

« U.S. CISA adds Yii Framework and Commvault Command Center flaws to its Known Exploited Vulnerabilities catalog », Pierluigi Paganini, 03 mai 2025, Security Affairs : 
https://securityaffairs.com/177367/hacking/u-s-cisa-adds-yii-framework-and-commvault-command-center-flaws-to-its-known-exploited-vulnerabilities-catalog.html 

Réponse à incident

Vous faites face à une cyber attaque ?

24/7/365 nos experts vous accompagnent réponse à incident.

CSIRT