Američka Agencija za Cyber Sigurnost i Sigurnost Infrastrukture (CISA) dodala je kritičnu ranjivost u Craft CMS-u na svoju listu poznatih eksploatisanih ranjivosti (KEV), na osnovu dokaza o aktivnoj iskorištavanju.
Ranjivost, označena kao CVE-2025-23209 (CVSS ocjena: 8.1), utiče na verzije Craft CMS-a 4 i 5. Programeri su izdali zakrpu krajem decembra 2024. godine u verzijama 4.13.8 i 5.5.8.
“Craft CMS sadrži ranjivost injektiranja koda koja omogućava daljinsko izvršavanje koda, jer su sigurnosni ključevi korisnika u ugroženim verzijama kompromitovani,” saopštila je CISA.
Pogođene verzije softvera
- >= 5.0.0-RC1, < 5.5.5
- >= 4.0.0-RC1, < 4.13.8
U sigurnosnom savjetovanju objavljenom na GitHub-u, Craft CMS je istakao da sve nezakrpljene verzije Craft-a sa kompromitovanim sigurnosnim ključem mogu biti pogođene ovim problemom.
“Ako ne možete nadograditi na zakrpljenu verziju, rotiranje sigurnosnog ključa i osiguravanje njegove privatnosti može pomoći u ublažavanju problema,” navodi se u saopštenju.
Trenutno nije poznato kako su korisnički sigurnosni ključevi kompromitovani niti u kojem kontekstu. Kako bi se smanjio rizik od napada, Federalnim civilnim izvršnim agencijama (FCEB) se preporučuje da primijene potrebne zakrpe do 13. marta 2025. godine.
Izvor:The Hacker News