World Watch reports : découverte de plusieurs vulnérabilités au cœur d'un logiciel de publication CMS

Votre hack'tu cybersécurité : pour aller à l'essentiel

• Deux nouvelles failles de vulnérabilités au coeur d'un outil CMS découvertes par les équipes du CSIRT d'Orange Cyberdefense ;  
• Les recommandations du CSIRT ont permis à l'éditeur du logiciel impacté d'adresser des correctifs ; 
• Ces deux nouvelles failles ont été identifiées et répertoriées au sein de la base de données en Cyber Threat Intelligence. 

Un travail collectif d'analyse et d'enquête entre les équipes du CSIRT, le CERT, les pentesters et Onyphe

Grâce au concours du CERT, de nos pentesters et d'Onyphe, les équipes du CSIRT d’Orange Cyberdefense ont découvert deux vulnérabilité au sein du système de gestion de contenu Craft CMS, permettant l'exécution l’écriture d’un code arbitraire.

De nouvelles failles de cybersécurité ont été découvertes par le CSIRT d'Orange Cyberdefense

Au cours du mois de février 2025, les équipes du CSIRT (Computer Security Incident Response Team) d’Orange Cyberdefense ont été mandatées pour enquêter sur une activité suspecte. L'objet de l'enquête : un serveur utilisant le logiciel Craft CMS. Cette analyse a permis de découvrir deux vulnérabilités, jusqu’à alors non référencées dans le logiciel, qui permettent à des cyberattaquants d’exécuter du code malveillant. Une pratique identifiée sous le nom de RCE pour Remote Code Execution. 

Un CMS utilisé comme Cheval de Troie

Craft CMS est un système de gestion de contenu moderne, flexible et orienté développeur. Il permet la création de sites web personnalisés grâce à une structure entièrement personnalisable et à un moteur de templates. Ce CMS a une part de marché relativement faible comparée à d'autres solutions phares du marché. Mais il est néanmoins utilisé par des milliers de sites web.

La semaine dernière, sur 35 000 serveurs, au moins 13 000, principalement situés aux États-Unis, présentaient une vulnérabilité potentielle. D'après des fichiers spécifiques suspectés à la racine, environ 300 instances pourraient même déjà être compromises. Voici les deux vulnérabilités qui ont été découvertes, identifiées et répertoriées au sein de notre base de données : 

• La première vulnérabilité, identifiée comme CVE-2025-32432, permet à un attaquant d'accéder aux ressources d'administration sans être authentifié. Celui-ci peut alors potentiellement écrire du code arbitraire dans un fichier du serveur. Lors des attaques observées par nos équipes, les attaquants ont injecté du code PHP malveillant via une URL spécialement conçue, dont les paramètres donnaient accès à une page spécifique du panneau d'administration. A l’aide de cette requête GET - un type de requête HTTP utilisée pour demander des données à un serveur - l’attaquant a téléchargé un fichier malveillant depuis un dépôt GitHub, une plateforme collaborative dédiée aux développeurs et codeurs informatiques ;  
• La seconde vulnérabilité, référencée sous l’identifiant CVE-2024-58136, se situe au niveau du framework PHP Yii 2. Elle permet à un attaquant d'exécuter du code arbitraire. Craft CMS étant basé sur le framework PHP Yii, les vulnérabilités affectant Yii peuvent également impacter Craft CMS.

La cyber threat intelligence au service de la communauté

Conscientes des risques, les équipes d’Orange Cyberdefense ont collaboré pour documenter de façon responsable les vulnérabilités affectant Craft CMS. Grâce aux travaux et recommandations transmis par nos équipes, l’éditeur du CMS a pu avertir ses utilisateurs afin de les inciter à appliquer les correctifs de ces vulnérabilités.