CVE-2025-23209
Potential RCE with a compromised security key in craft/cms
En resumen
Craft CMS puede ejecutar código malicioso si alguien obtiene tu clave de seguridad. Si la clave es robada, los atacantes pueden ejecutar código en tu servidor.
Detalle técnico
Vulnerabilidad de RCE en Craft 4 y 5 explotable cuando la clave de seguridad está comprometida; los atacantes pueden aprovechar deserialización insegura (CWE-94) para ejecutar código arbitrario. La mitigación requiere actualizar a Craft 5.5.8+ o 4.13.8+, o rotar las claves de seguridad inmediatamente.
Resumen generado y traducido por IA a partir de la descripción oficial.
Craft is a flexible, user-friendly CMS for creating custom digital experiences on the web and beyond. This is an remote code execution (RCE) vulnerability that affects Craft 4 and 5 installs where your security key has already been compromised. Anyone running an unpatched version of Craft with a compromised security key is affected. This vulnerability has been patched in Craft 5.5.8 and 4.13.8. Users who cannot update to a patched version, should rotate their security keys and ensure their privacy to help migitgate the issue.
CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:H
Productos afectados
craftcms · cms¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://craftcms.com/knowledge-base/securing-craft#keep-your-secrets-secrethttps://github.com/craftcms/cms/commit/e59e22b30c9dd39e5e2c7fe02c147bcbd004e603https://github.com/craftcms/cms/security/advisories/GHSA-x684-96hh-833xhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-23209