Suite à la découverte de deux vulnérabilités au sein du système de gestion de contenu Craft CMS, permettant l'exécution d'un code arbitraire, le CERT Orange Cyberdefense a sollicité la société Onyphe afin d'identifier les instances vulnérables sur Internet.
Au cours du mois de février 2025, les équipes du CSIRT (« Computer Security Incident Response Team ») d’Orange Cyberdefense ont été mandatées pour enquêter sur une activité suspecte. L'objet de l'enquête : comprendre comment le serveur du client - utilisant le logiciel Craft CMS - avait été compromis. Cette analyse a permis de découvrir deux vulnérabilités, jusqu'alors non référencées dans le logiciel, qui permettent à des cyberattaquants d’exécuter du code malveillant. Une pratique identifiée sous le nom de « RCE » pour « Remote Code Execution ».
Craft CMS est un système de gestion de contenu moderne, flexible et orienté développeur. Il permet la création de sites web personnalisés grâce à une structure entièrement personnalisable et à un moteur de templates. Ce CMS a une part de marché relativement faible comparée à d'autres solutions phares du marché. Mais il est néanmoins utilisé par des dizaines de milliers de sites web.
La semaine dernière, sur 35 000 serveurs, au moins 13 000, principalement situés aux États-Unis, ont été identifiés comme impactés par les deux vulnérabilités découvertes. En recherchant des fichiers spécifiques précédemment catalogués comme malveillants, 300 instances compromises avaient également pu être identifiées par nos services. Voici les deux vulnérabilités qui ont été découvertes, identifiées et répertoriées au sein de notre base de données :
Conscientes des risques, les équipes d’Orange Cyberdefense ont collaboré pour divulguer et documenter de façon responsable les vulnérabilités affectant Craft CMS. Grâce aux travaux et recommandations transmis par nos équipes, l’éditeur du CMS a pu avertir ses utilisateurs afin qu'ils appliquent les correctifs au plus vite. Les équipes d'Orange Cyberdefense ont également publié des indicateurs de compromissions permettant d'identifier toute compromission initiale d'une installation Craft CMS, par les attaquants en lien avec ces vulnérabilités.
Le département de sécurité intérieur américain (« CISA ») a par ailleurs récemment référencé ces vulnérabilités dans son catalogue « KEV » (« Know Exploited Vulnerabilities »).
« CVE-2025-32432 – 0day Craft CMS découverte par Orange Cyberdefense », Patrice Auffret, 25 avril 2025, Onyphe : https://blog.onyphe.io/cve-2025-32432-0day-craft-cms-decouverte-par-orange-cyberdefense/
« Craft CMS RCE exploit chain used in zero-day attackes to steal data », Lawrence Abrams, 25 avril 2025, Bleepingcomputer.com : https://www.bleepingcomputer.com/news/security/craft-cms-rce-exploit-chain-used-in-zero-day-attacks-to-steal-data/
« Intrusions chaining critical Craft CMS », 28 avril 2025, SC Media : https://www.scworld.com/brief/intrusions-chaining-critical-craft-cms-zero-days-ongoing
« Une vulnérabilité critique affecte Craft CMS », Valéry Rieb-Marchive, 28 avril 2025, LeMagIt : https://www.lemagit.fr/actualites/366623252/Une-vulnerabilite-critique-affecte-Craft-CMS
« Hackers Exploit Critical Craft CMS Flaws; Hundreds of servers likely compromised », Ravie Lakshmann, 28 avril 2025, TheHackerNews.com : https://thehackernews.com/2025/04/hackers-exploit-critical-craft-cms.html?m=1
« Craft CMS Zero day CVE-2025-32432 Exploited with Metasploit module now public », Ddos, 28 Avril 2025, Security online.info : https://securityonline.info/craft-cms-zero-day-cve-2025-32432-exploited-with-metasploit-module-now-public/
« Attackers chained craft CMS zero-days attacks in the wild », Pierluigi Paganini, 28 avril 2025, Security Affairs :
https://securityaffairs.com/177085/hacking/attackers-chained-craft-cms-zero-days-attacks-in-the-wild.html
« CISA adds two known exploited vulnerabilities to catalog », 02 mai 2025, CISA.gov : www.cisa.gov/news-events/alerts/2025/05/02/cisa-adds-two-known-exploited-vulnerabilities-
catalog
« U.S. CISA adds Yii Framework and Commvault Command Center flaws to its Known Exploited Vulnerabilities catalog », Pierluigi Paganini, 03 mai 2025, Security Affairs :
https://securityaffairs.com/177367/hacking/u-s-cisa-adds-yii-framework-and-commvault-command-center-flaws-to-its-known-exploited-vulnerabilities-catalog.html