أخبار دولية

رصد استغلال نشط لثغرتين خطيرتين في Craft CMS وتنفيذ هجمات يوم الصفر

منذ 8 ساعات

تكبير الخط ؟

درة - وكالات :  

رصد فريق Orange Cyberdefense SensePost في 14 فبراير 2025 استغلالًا نشطًا لثغرتين خطيرتين في نظام إدارة المحتوى Craft CMS، استُخدمتا في هجمات يوم الصفر لاختراق الخوادم والحصول على وصول غير مصرح به.

تشمل الهجمات استغلال الثغرتين التاليتين:

– CVE-2024-58136 (درجة خطورة CVSS: 9.0): خلل أمني في حماية المسار البديل بإطار عمل Yii PHP المستخدم في Craft CMS، يسمح بالوصول إلى موارد ووظائف محظورة.

– CVE-2025-32432 (درجة خطورة CVSS: 10.0): ثغرة لتنفيذ التعليمات البرمجية عن بُعد (RCE) داخل ميزة تحويل الصور في Craft CMS، تم تصحيحها في الإصدارات 3.9.15 و4.14.15 و5.6.17.

وشرح الباحث الأمني نيكولاس بوراس أن الثغرة الأخيرة تتيح للمهاجمين إرسال طلبات POST غير مصادق عليها إلى نقطة نهاية مخصصة لتحويل الصور، مما يسمح بتفسير البيانات بشكل ضار وتنفيذ تعليمات برمجية خبيثة، بحسب تقرير نشره موقع “thehackernews” واطلعت عليه “العربية Business”.

تفاصيل الاستغلال في الإصدارات 3.x من Craft CMS، يتم التحقق من “معرّف الأصل” قبل إنشاء كائن التحويل، بينما يحدث التحقق بعده في الإصدارات 4.x و5.x، مما يجعل استغلال الثغرة ممكنًا شريطة العثور على معرّف أصل صالح وهو مُعرف فريد لكل ملف وسائط ضمن النظام.

استخدم المهاجمون نصوص “بايثون” لإرسال طلبات POST متكررة بهدف اكتشاف معرّف صالح.

وبعد اختراق الخادم، كانوا ينزلون ملف PHP خبيثًا من مستودع GitHub.

بين 10 و11 فبراير، تم تطوير النصوص لتشمل اختبارات متعددة لتنزيل ملف filemanager.php، الذي أعيدت تسميته لاحقًا إلى autoload_classmap.php، واستخدم لأول مرة في 14 فبراير.

حتى 18 أبريل 2025، تم تحديد نحو 13,000 نسخة معرضة للخطر من Craft CMS، مع تأكيد اختراق حوالي 300 خادم منها.

وحذّر فريق Craft CMS قائلاً:”إذا لاحظتم في سجلات الخادم طلبات POST مريبة إلى المسار /actions/assets/generate-transform تتضمن السلسلة __class، فهذا يشير إلى أن موقعكم خضع للفحص بحثًا عن الثغرة. ومع ذلك، لا يعني ذلك بالضرورة أن الموقع تعرض للاختراق.”

توصيات هامة – تحديث مفاتيح الأمان وقاعدة البيانات.

– تغيير كلمات المرور بحذر.

– حظر الطلبات المشبوهة عبر جدار الحماية.

ثغرات أخرى بالتزامن، سُجل استغلال نشط لثغرة CVE-2025-42599 في نظام Active! Mail (درجة خطورة CVSS: 9.8)، حيث تمكن المهاجمون من تنفيذ تعليمات برمجية عن بُعد عبر تجاوز سعة المخزن المؤقت.

وأُصلحت هذه الثغرة في الإصدار .60.06008562.

وذكرت شركة Qualitia في بيانها:”يمكن للطرف الثالث تنفيذ تعليمات برمجية عشوائية أو التسبب في تعطيل الخدمة (DoS) من خلال إرسال طلبات مصممة بشكل ضار.”

ـــــــــــــــــــــــــــــــــــــــــــــــــــ
المصدر : العربية

منذ 8 ساعات

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى