Nieuws
image

VS meldt actief misbruik van kwetsbaarheden in Craft CMS

dinsdag 3 juni 2025, 14:25 door Redactie, 0 reacties

Aanvallers maken actief misbruik van twee kwetsbaarheden in Craft CMS, een contentmanagementsysteem voor het opzetten van websites, vergelijkbaar met WordPress. Dat meldt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Het gaat om de beveiligingslekken aangeduid als CVE-2024-56145 en CVE-2025-35939.

De eerste kwetsbaarheid is als kritiek aangemerkt en maakt remote code execution mogelijk. Het tweede beveiligingslek heeft een lagere impact. "Craft CMS slaat willekeurige content van ongeauthenticeerde gebruikers op in sessiebestanden. Deze content is mogelijk via een andere kwetsbaarheid te benaderen en uit te voeren", aldus de omschrijving.

Voor CVE-2024-56145 verscheen afgelopen december een oplossing, CVE-2025-35939 werd vorige maand gepatcht. Details over de waargenomen aanvallen zijn niet door het CISA gegeven. CERT Orange Cyberdefense waarschuwde in april nog voor grootschalige aanvallen op Craft CMS. Daarbij werd echter misbruik van twee andere kwetsbaarheden gemaakt, namelijk CVE-2024-58136 en CVE-2025-32432. Meer dan 150.000 websites zouden van Craft CMS gebruikmaken.

Nog geen reacties
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure