Дослідники повідомляють, що перші атаки були помічені ще 14 лютого 2025 року. У цих зламах зловмисники об’єднують у ланцюжок наступні вразливості.

CVE-2024-58136 (9,0 балів за шкалою CVSS) – некоректний захист альтернативного шляху в PHP-фреймворку Yii, що використовується в Craft CMS. Уразливість може використовуватися для доступу до закритих функцій або ресурсів (варіація проблеми CVE-2024-4990).

CVE-2025-32432 (10,0 балів за шкалою CVSS) – вразливість віддаленого виконання коду (RCE) у Craft CMS (виправлена у версіях 3.9.15, 4.14.15 і 5.6.17).

За даними компанії, проблема CVE-2025-32432 пов’язана з вбудованою функцією перетворення зображень, яка дає змогу адміністраторам сайтів зберігати зображення в певному форматі.

“CVE-2025-32432 ґрунтується на тому, що неавтентифікований користувач може надіслати POST-запит ендпоінту, що відповідає за перетворення зображень, і дані в POST будуть інтерпретовані сервером. Дані інтерпретуються під час створення об’єкта перетворення”, – пояснюють дослідники.

Вразливість зачіпає Craft CMS версій 3.x, 4.x і 5.x, і для її експлуатації потрібно, щоб у зловмисника був дійсний asset ID для цільової версії.

Так, зловмисники, що стоять за виявленою експертами кампанією, виконують безліч POST-запитів доти, доки не буде виявлено дійсний asset ID. Після цього відбувається виконання Python-скрипта, який визначає, чи вразливий сервер, і якщо так, то завантажує на нього PHP-файл із репозиторію на GitHub.

Станом на 18 квітня 2025 року експерти виявили близько 13 000 вразливих екземплярів Craft CMS, і приблизно 300 із них було скомпрометовано.

“Якщо ви перевірили журнали брандмауера або веб-сервера і виявили там підозрілі POST-запити до кінцевої точки action/assets/generate-transform (зокрема з рядком __class), це означає, що ваш сайт, щонайменше, перевіряли на наявність цієї вразливості. Це не є підтвердженням злому, але сайт промацували”, – попередили в Orange Cyberdefense.