Aanvallers maken op grote schaal misbruik van kritieke kwetsbaarheden in Craft CMS, zo meldt CERT Orange Cyberdefense. Updates zijn inmiddels beschikbaar, maar websites zijn al voor het uitkomen van de patches via de beveiligingslekken aangevallen. De kwetsbaarheden (CVE-2024-58136 en CVE-2025-32432) bevinden zich in Craft CMS en het Yii framework waar Craft CMS gebruik van maakt. Via de lekken zijn servers waarop Craft CMS draait op afstand over te nemen.

Craft CMS is een contentmanagementsysteem voor het opzetten van websites, vergelijkbaar met WordPress. Orange Cyberdefense laat weten dat een aanvaller CVE-2025-32432 op 10 februari gebruikte voor het compromitteren van een webserver van een niet nader genoemde website. De beveiligingslekken maken remote code execution mogelijk en aanvallers gebruiken dit voor het uploaden van verschillende PHP-bestanden. De impact van CVE-2025-32432 is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. "Dit is een high-impact, lage complexiteit aanvalsvector", aldus de omschrijving.

Zowel Craft CMS als het Yii framework werden over de kwetsbaarheden ingelicht en kwamen respectievelijk op 10 en 9 april met updates. Craft CMS stelt dat het op 17 april ontdekte dat aanvallers actief misbruik van het lek maken en besloot daarop klanten via e-mail te waarschuwen. Orange Cyberdefense zegt dat het zo'n 13.000 kwetsbare installaties heeft geteld, waarvan er mogelijk driehonderd al zijn gecompromitteerd. Via X meldt het securitybedrijf dat beide kwetsbaarheden inmiddels op grote schaal worden misbruikt.