InforSec News: Lỗ hổng CMS Craft CVE-2025-23209 trong bối cảnh các cuộc tấn công đang hoạt động

Top Block Position

Lỗ hổng CMS Craft CVE-2025-23209 trong bối cảnh các cuộc tấn công đang hoạt động

Một lỗ hổng bảo mật có mức độ nghiêm trọng cao ảnh hưởng đến Hệ thống quản lý nội dung Craft CMS đã được Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) thêm vào danh mục Lỗ hổng khai thác đã biết (KEV), dựa trên bằng chứng về việc khai thác tích cực.

Lỗ hổng được đề cập là CVE-2025-23209 (CVSS: 8.1), ảnh hưởng đến Craft CMS phiên bản 4 và 5. Nó đã được các nhà bảo trì dự án giải quyết vào cuối tháng 12 năm 2024 trong các phiên bản 4.13.8 và 5.5.8. Cơ quan này cho biết "Craft CMS chứa một lỗ hổng chèn mã cho phép thực thi mã từ xa vì các phiên bản dễ bị tấn công đã xâm phạm các khóa bảo mật của người dùng".

Lỗ hổng ảnh hưởng đến phiên bản phần mềm sau:

= 5.0.0-RC1, < 5.5.5
= 4.0.0-RC1, < 4.13.8

Trong một lời khuyên được phát hành trên GitHub, Craft CMS lưu ý rằng tất cả các phiên bản chưa được vá của Craft với khóa bảo mật bị xâm phạm đều bị ảnh hưởng bởi lỗi bảo mật. "Nếu bạn không thể cập nhật lên phiên bản vá lỗi, thì việc luân chuyển khóa bảo mật của bạn và đảm bảo quyền riêng tư của nó sẽ giúp giảm thiểu vấn đề".

Hiện tại vẫn chưa rõ các khóa bảo mật của người dùng đã bị xâm phạm như thế nào và trong bối cảnh nào. Để giảm thiểu rủi ro do lỗ hổng gây ra, các cơ quan Hành pháp Dân sự Liên bang (FCEB) nên áp dụng các bản sửa lỗi cần thiết trước ngày 13 tháng 3 năm 2025.

Vào tháng 12 năm 2024, Craft CMS đã cảnh báo về việc tích cực khai thác một lỗ hổng bảo mật khác (CVE-2024-56145) có thể dẫn đến việc thực thi mã từ xa khi cài đặt cấu hình 'register_argc_argv' của PHP được bật. Lỗ hổng này vẫn chưa được thêm vào danh mục KEV của CISA.

Nguồn: The Hacker News

Công ty CP Dịch vụ an toàn thông tin TP.HCM (HISSC) chuyên cung cấp các dịch vụ về an ninh mạng gồm:

Điện toán đám mây.
Máy tính để bàn ảo VDI.
Lưu trữ dữ liệu Drive.
Quản lý dịch vụ công nghệ thông tin ITSM.
Mạng phân phối nội dung
Giám sát an toàn thông tin mạng.
Bảo vệ an toàn thông tin đầu cuối.
Sao lưu, phục hồi dữ liệu.
Diễn tập phòng chống tấn công mạng.
Kiểm tra, đánh giá an toàn thông tin mạng.
Đào tạo an toàn thông tin.
Dịch vụ khác:
- Triển khai tích hợp giải pháp công nghệ an toàn thông tin theo yêu cầu.
- Cho thuê thiết bị an toàn thông tin, công nghệ thông tin

Liên hệ dịch vụ:

Số điện thoại: (84-28) 3715 9999 – Phòng PTKD
Email: sales@hissc.com.vn

Bottom Block Position

Trở lại Khoá học