Ejecución remota de código en Craft CMS
Las siguientes versiones de Craft CMS están afectadas:
- desde la versión 3.0.0-RC1 hasta la 3.9.14, incluidas;
- desde la versión 4.0.0-RC1, hasta la 4.14.14, incluidas;
- desde la versión 5.0.0-RC1 hasta la 5.6.16, incluidas.
Craft CMS ha publicado una vulnerabilidad de severidad crítica que podría permitir a un atacante ejecutar código remoto.
Además, el fabricante afirma que existe evidencias de que la vulnerabilidad esta siendo explotada.
En función de la versión de la que se disponga, actualizar a las siguientes versiones de Craft CMS:
- 3.9.15;
- 4.14.15;
- 5.6.17.
La vulnerabilidad se basa en que un usuario, no autenticado, podría enviar una solicitud POST al endpoint responsable de la transformación de una imagen y el servidor interpretaría los datos de la solicitud. Estos datos se interpretan al crear el objeto de transformación. En las versiones afectadas el ID del activo se verifica antes de crear el objeto de transformación.
Se ha asignado el identificador CVE-2025-32432 para esta vulnerabilidad.
