Vulnerabilidades críticas en Craft CMS 2025
Vulnerabilidad - 29 de mayo
Introducción
La vulnerabilidad CVE-2025-32432 es una falla crítica de ejecución remota de código (RCE) que afecta a Craft CMS, un sistema de gestión de contenidos ampliamente utilizado para crear experiencias digitales personalizadas. Esta vulnerabilidad permite a atacantes no autenticados ejecutar código arbitrario en servidores afectados, lo que puede comprometer completamente el sistema.
Análisis
CVE-2025-32432- CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:L - 10
Actores maliciosos están explotando activamente la CVE-2025-32432 en entornos reales. Uno de los grupos identificados, conocido como "Mimo", ha utilizado esta falla para desplegar cargas maliciosas, incluyendo mineros de criptomonedas y software proxy, comprometiendo numerosos sistemas. Se estima que aproximadamente 13.000 instancias de Craft CMS eran vulnerables en el momento de la divulgación, con cerca de 300 ya comprometidas.
Versiones afectadas
- Desde la 3.0.0-RC1 hasta antes de la 3.9.15
- Desde la 4.0.0-RC1 hasta antes de la 4.14.15
- Desde la 5.0.0-RC1 hasta antes de la 5.6.17
Recomendaciones
Craft CMS ha publicado parches para solucionar esta vulnerabilidad en las versiones 3.9.15, 4.14.15 y 5.6.17. Se recomienda encarecidamente a las organizaciones que actualicen a estas versiones parcheadas de inmediato. Para quienes no puedan actualizar de inmediato, las medidas de mitigación recomendadas incluyen actualizar las claves de seguridad con "php craft setup/security-key", rotar las credenciales de la base de datos, forzar el restablecimiento de contraseñas para todos los usuarios y bloquear las solicitudes POST sospechosas dirigidas al endpoint vulnerable a nivel de firewall
Workarounds
No hay workarounds disponibles para esta vulnerabilidad.