美国网络安全与基础设施安全局(CISA)已经发布了关于Craft CMS中一个高严重远程代码执行(RCE)缺陷的警告,该漏洞正在被积极利用。此漏洞被跟踪为 CVE-2025-23209,影响 Craft CMS 版本 4 和 5,CVSS v3 评分为 8.0。利用此缺陷的过程较为复杂,需要首先泄露 Craft CMS 安装的安全密钥。
Craft CMS 中的安全密钥对于保护用户身份验证令牌、会话 Cookie、数据库值和敏感应用程序数据至关重要。如果攻击者成功获取了此密钥,他们可以解密敏感数据,生成虚假的身份验证令牌,并远程注入和执行恶意代码。
CISA 已将此缺陷包含在其已知利用漏洞目录中,并已将联邦机构应用必要补丁的截止日期定为 2025 年 3 月 13 日。敦促 Craft CMS 用户立即升级到版本 5.5.8 或 4.13.8 或更高版本。此外,怀疑其系统已泄露的用户应重新生成其安全密钥,并注意使用旧密钥加密的先前数据将变得无法访问。
在同一公告中,CISA 还强调了 Palo Alto Networks 防火墙中的另一个漏洞 (CVE-2025-0111),该漏洞正被黑客积极利用。此文件读取漏洞会影响 PAN-OS 防火墙,修补此缺陷的截止日期为 3 月 13 日。来源