La Agencia de Seguridad de Alta Severidad que afecta el Sistema de Gestión de Contenido de Craft (CMS) ha sido agregado por la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) a su catálogo de vulnerabilidades explotadas (KEV) conocidas, basada en evidencia de explotación activa.
La vulnerabilidad en cuestión es CVE-2025-23209 (puntaje CVSS: 8.1), que impacta las versiones CMS de CMA 4 y 5. Fue abordado por los mantenedores del proyecto a fines de diciembre de 2024 en las versiones 4.13.8 y 5.5.8.
«CMA CMS contiene una vulnerabilidad de inyección de código que permite la ejecución de código remoto, ya que las versiones vulnerables han comprometido las claves de seguridad de los usuarios», dijo la agencia.
La vulnerabilidad afecta la siguiente versión del software –
- > = 5.0.0-rc1,
- > = 4.0.0-rc1,
En un aviso publicado en GitHub, Craft CMS señaló que todas las versiones sin parpadear de Craft con una clave de seguridad comprometida se ven afectadas por el defecto de seguridad.
«Si no puede actualizar una versión parcheada, girar su clave de seguridad y garantizar que su privacidad ayude a mitigar el problema», señaló.
Actualmente no está claro cómo se comprometieron las claves de seguridad del usuario y en qué contexto. Para aliviar el riesgo que plantea la vulnerabilidad, se recomienda que las agencias federales de rama ejecutiva civil (FCEB) apliquen las soluciones necesarias antes del 13 de marzo de 2025.
En diciembre de 2024, CMS CMS advirtió sobre la explotación activa de otra falla de seguridad (CVE-2024-56145) que podría dar lugar a la ejecución de código remoto cuando la configuración de configuración PHP `Register_ARGC_ARGV` está habilitado. La vulnerabilidad aún no se ha agregado al catálogo KEV de CISA.
