【安全资讯】CISA警告Craft CMS代码注入漏洞被攻击利用

概要：

美国网络安全与基础设施安全局（CISA）近日发出警告，指出Craft CMS存在的远程代码执行漏洞（CVE-2025-23209）正在被攻击者利用。该漏洞的严重性评级为高（CVSS v3评分：8.0），影响Craft CMS的4和5版本，可能导致敏感数据泄露和恶意代码执行。

主要内容：

CVE-2025-23209漏洞是一个代码注入（RCE）漏洞，影响Craft CMS这一内容管理系统。虽然关于该漏洞的技术细节不多，但其利用难度较高，攻击者需先获取安装的安全密钥。该安全密钥用于保护用户身份验证令牌、会话cookie、数据库值及敏感应用数据。一旦攻击者获得该密钥，就可以解密敏感数据、生成伪造的身份验证令牌，或远程注入和执行恶意代码。

CISA已将此漏洞列入已知利用漏洞目录（KEV），但未透露攻击的范围、来源及目标。联邦机构需在2025年3月13日前修补此漏洞。Craft CMS的5.5.8和4.13.8版本已修复该漏洞，用户被建议尽快升级。如果怀疑安全密钥被泄露，建议删除.env文件中的旧密钥，并使用php craft setup/security-key命令生成新密钥。需要注意的是，密钥更改将使使用旧密钥加密的数据无法访问。

此外，CISA还将Palo Alto Networks防火墙中的另一个漏洞（CVE-2025-0111）加入已知利用漏洞目录，设定相同的修补截止日期。这一文件读取漏洞影响PAN-OS防火墙，供应商披露该漏洞被黑客利用作为攻击链的一部分。