CVE-2025-32432

Суть уязвимости

CVE-2025-32432 представляет собой критическую уязвимость типа Code Injection (инъекция кода) в ядре Craft CMS. Уязвимость возникает из-за недостаточной фильтрации входных данных, которые передаются в функции динамического исполнения кода или механизмы обработки шаблонов.

Удаленный неавторизованный злоумышленник может отправить специально сформированный HTTP-запрос, позволяющий внедрить и исполнить произвольный PHP-код на стороне сервера. Это приводит к полному компрометации веб-сервера, краже конфиденциальных данных и возможности закрепления в инфраструктуре (RCE).

Как исправить

Основным способом устранения уязвимости является обновление Craft CMS до безопасной версии, в которой исправлены механизмы валидации входящих параметров.

1. Перейдите в корневую директорию проекта:

cd /var/www/craft-project

1. Запустите обновление всех зависимостей через Composer:

composer update craftcms/cms

1. Если вы используете Docker, пересоберите образ с указанием последней версии в composer.json и перезапустите контейнеры:

docker-compose up -d --build

1. После обновления очистите кэш приложения:

php craft clear-caches/all

Временные меры

Если немедленное обновление невозможно, примените следующие защитные меры для снижения риска эксплуатации:

1. Настройте Web Application Firewall (WAF) для блокировки подозрительных POST-запросов, содержащих PHP-функции (например, system, exec, passthru, eval) в параметрах запроса.

2. Ограничьте права доступа к файловой системе, установив запрет на запись в директории, отличные от storage и web/cpresources:

chmod -R 555 /var/www/craft-project
chmod -R 775 /var/www/craft-project/storage

1. Отключите опасные функции PHP в конфигурационном файле php.ini:

disable_functions = exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source,eval

1. Временно ограничьте доступ к панели управления Craft CMS (/admin) по IP-адресам через конфигурацию Nginx или Apache.