craft - RunkIntel

# Craft CMS > [!critical] Craft CMS — CMS PHP com code injection CVSS 10.0 explorado como zero-day por mais de 60 dias antes do patch, usado para cryptomining e instalação de proxyware em servidores web de mídia e públicações digitais. ## Visão Geral **Craft CMS** é um sistema de gerenciamento de conteúdo (CMS) PHP orientado a desenvolvedores, amplamente adotado por agências digitais, veículos de mídia, editoras e empresas de públicação digital que necessitam de flexibilidade na modelagem de conteúdo. Diferente de CMSs mais populares como WordPress e Drupal, o Craft CMS é escolhido por equipes técnicas que valorizam controle e customização sobre facilidade de uso para usuários finais. Em abril de 2025, a comunidade de segurança identificou [[cve-2025-32432|CVE-2025-32432]] (CVSS 10.0) — uma vulnerabilidade de **code injection** no sistema de templates Twig do Craft CMS. O mecanismo de renderização de templates processava entradas do usuário sem sanitização adequada, permitindo que um atacante remoto não autenticado injetasse código PHP arbitrário que era executado diretamente no servidor. Evidências forenses indicaram que a vulnerabilidade estava sendo explorada ativamente como zero-day desde fevereiro de 2025 — mais de 60 dias antes da divulgação pública. Os payloads observados na exploração inicial focaram em **cryptomining** (instalação de mineradores Monero) e **proxyware** (enlistamento do servidor como proxy de tráfego anônimo). A facilidade de exploração — a falha requer apenas uma requisição HTTP maliciosa sem autenticação — e a janela longa de zero-day tornaram a vulnerabilidade particularmente impactante para proprietários de sites que não monitoram ativamente seus servidores web. > [!latam] Relevância Brasil/LATAM > Agências digitais e veículos de mídia no Brasil e LATAM utilizam Craft CMS para sites de alto tráfego. Servidores comprometidos foram recrutados para redes de cryptomining e proxyware, resultando em custos operacionais elevados, degradação de performance e potencial responsabilidade legal por uso dos servidores como infraestrutura de atividade ilícita. ## Vulnerabilidades Conhecidas | CVE | CVSS | Exploração | Patch | Data | |-----|------|------------|-------|------| | [[cve-2025-32432\|CVE-2025-32432]] | 10.0 | Ativa - zero-day desde fev/2025, cryptominer + proxyware | Sim (5.6.17) | 2025-04 | %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", cve-id AS "CVE", cvss-score AS "CVSS", exploit-type AS "Exploração", patch-date AS "Patch" FROM "vulnerabilities" WHERE contains(product, "Craft CMS") SORT patch-date DESC ``` %% ## TTPs Associadas - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - code injection via template Twig - [[t1059-006-python|T1059.006 - Python]] / [[t1059-004-unix-shell|T1059.004 - Unix Shell]] - execução pós-injeção de código - [[t1496-resource-hijacking|T1496 - Resource Hijacking]] - cryptomining nos servidores comprometidos (se disponível no vault) ## Detecção e Defesa - Atualizar Craft CMS para versão 5.6.17 ou 4.x equivalente imediatamente - Verificar logs de acesso HTTP por requisições com payloads de template injection (`{{7*7}}`, `{%`) - Escanear processos em execução por mineradores (processos com alto consumo de CPU sem justificativa) - Verificar crontabs e arquivos de autostart por persistência de mineradores - Aplicar [[m1050-exploit-protection|M1050 - Exploit Protection]] e WAF com regras para template injection PHP - Revisar permissões de arquivo do servidor web — o processo PHP não deve ter permissão de escrita em diretórios críticos ## Setores Afetados - [[technology|Tecnologia]] - agências digitais e desenvolvimento web - [[education|Educação]] - portais acadêmicos e de pesquisa - [[retail|Varejo]] - plataformas de e-commerce customizadas ## Referências - [Craft CMS Security Advisory - CVE-2025-32432](https://craftcms.com/knowledge-base/security) - [NVD - CVE-2025-32432](https://nvd.nist.gov/vuln/detail/CVE-2025-32432) ## Notas Relacionadas **Vendor:** [[_craft-cms|Craft CMS]] **CVEs:** [[cve-2025-32432|CVE-2025-32432]] **TTPs:** [[t1190-exploit-public-facing-application|T1190]], [[t1059-004-unix-shell|T1059.004]] **Setores:** [[technology|Tecnologia]], [[education|Educação]]