更新時間:2026/03/27 14:16:18
發佈時間:2026/03/27 14:16:18
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、漏洞說明[1][2]
Craft CMS存在遠端程式碼執行漏洞(CVE-2025-32432),未經身分驗證的攻擊者可透過actions/assets/generate-transform端點發送特製請求,於受影響系統上執行任意程式碼。
二、已揭露攻擊活動說明
1. CISA已納入漏洞利用清單。[3]
2. GitHub已有PoC程式碼。[4]
▶ 漏洞資訊
⌵
名稱:
CVE-2025-32432
描述:
使用版本:CVSS 3.1
分析分數:10
參考來源:NVD
▶ 影響平台
⌵
影響平台-系統:
1. Craft CMS 3系列:3.0.0-RC1至3.9.14版本受影響,建議升級至3.9.15或以上版本。
2. Craft CMS 4系列:4.0.0-RC1至4.14.14版本受影響,建議升級至4.14.15或以上版本。
3. Craft CMS 5系列:5.0.0-RC1至5.6.16版本受影響,建議升級至5.6.17或以上版本。
▶ 建議措施
⌵
1. 官方已發布修補程式,建議會員依據單位內漏洞管理機制進行相關作業。
2. 下列為暫時性緩解措施,供於完成升級前降低風險參考:
(1) 建議於防火牆或WAF設備中設定檢測規則,針對actions/assets/generate-transform端點的POST請求進行監控,並阻擋包含__class關鍵字的可疑請求。
(2) 可部署官方安全修補套件(Security Patches)作為暫時性防護措施。[5]
3. 如研判系統可能已遭入侵,建議採取以下處置措施:
(1) 暫時關閉網站對外服務,以避免持續遭自動化攻擊利用。
(2) 清除系統中可能存在的惡意程式或後門檔案,並檢查上傳目錄及網站目錄。
(3) 重新部署乾淨環境(如重新建置 VM 或容器),並確認程式來源未遭竄改。
(4) 更新Craft CMS及所有外掛至修補版本。
(5) 重置系統安全金鑰(如CRAFT_SECURITY_KEY)及其他敏感憑證(如API Key)。
(6) 變更資料庫帳號密碼及相關存取憑證。
(7) 視情況要求使用者重設密碼,以降低帳號遭濫用風險。
▶ 參考資訊
⌵
| 編號 | 網址 | 說明 |
|---|---|---|
| 1 | https://craftcms.com/knowledge-base/craft-cms-cve-2025-32432 | Craft CMS |
| 2 | https://nvd.nist.gov/vuln/detail/CVE-2025-32432 | NVD |
| 3 | https://www.cisa.gov/known-exploited-vulnerabilities-catalog | CISA |
| 4 | https://github.com/CTY-Research-1/CVE-2025-32432-PoC | GitHub |
| 5 | https://github.com/craftcms/security-patches | Craft CMS安全修補套件 |
情資編號:
FISAC-200-202603-0012
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞