概要

CISA（サイバーセキュリティとインフラストラクチャセキュリティ庁）は、Craft CMS に影響を及ぼす重大な脆弱性である CVE-2025-32432 をその「既知の悪用されている脆弱性」カタログに追加しました。この脆弱性は現在、実際の攻撃で悪用されています。

脆弱性の詳細

CVE-2025-32432 は、Craft CMS のアセット変換生成機能における不安全なデシリアライゼーション問題を悪用します。この脆弱性により、認証なしのリモート攻撃者が影響を受けたサーバー上で任意のコードを実行できる可能性があります。

影響範囲

• Craft CMS 3.x リリースブランチ
• Craft CMS 4.x リリースブランチ
• Craft CMS 5.x リリースブランチ

脆弱性の悪用方法

攻撃者は、カスタム PHP オブジェクトをセッションファイルに植え付けることでこの脆弱性を利用します。その後、Yii フレームワークの behavior gadget chain を利用して、PhpManager コンポーネントを標的とし、オブジェクトインジェクション技術を使用してアプリケーションが汚染されたファイルを処理するように強制します。

対策

Craft CMS の開発者は、この脆弱性に対応したセキュリティアップデートをリリースしています。Craft CMS 3.0.0 から 5.6.16 までのバージョンが影響を受けます。

• 3.x バージョン：3.9.15
• 4.x バージョン：4.14.15
• 5.x バージョン：5.6.17

CISA は、2026 年 3 月 20 日にこの脆弱性を KEV カタログに追加し、4 月 3 日までに修正する期限を設けています。

元記事: https://gbhackers.com/cisa-warns-of-craft-cms-code-injection-flaw/