# CVE-2025-32432 - Craft CMS Remote Code Execution (Pré-Autenticação) > [!danger] CISA KEV - Prazo de Remediação: 2026-04-03 > Esta vulnerabilidade está no **CISA Known Exploited Vulnerabilities Catalog** (adicionada em 2026-03-20). Agências federais dos EUA devem remediar até **2026-04-03**. Setor privado: aplicar patch com urgência máxima. > CVSS: 10.0 (Crítico) · EPSS: ~82% · Vendor: Pixel & Tonic · Patch: Sim · CISA KEV: Sim (2026-03-20) ## Resumo ```mermaid graph TB A["🔍 CVE-2025-32432 · CVSS 10.0<br/>Craft CMS - PHP Desserialização"] --> B["🎯 Scan Automatizado<br/>Script Python multi-thread<br/>busca instâncias Craft CMS"] B --> C["💥 POST ao Endpoint<br/>/actions/assets/generate-transform<br/>payload GuzzleHttp/FnStream"] C --> D["🔧 RCE sem Autenticação<br/>Execução código PHP<br/>leitura do arquivo .env"] D --> E["🔧 Credenciais Extraídas<br/>Acesso DB, API keys<br/>instalação de web shell"] E --> F["💀 Comprometimento Total<br/>Acesso persistente ao servidor<br/>exfiltração de dados"] classDef critical fill:#c92a2a,stroke:#c92a2a,color:#fff classDef exploit fill:#e67700,stroke:#e67700,color:#fff classDef postexploit fill:#495057,stroke:#343a40,color:#fff classDef impact fill:#1864ab,stroke:#1864ab,color:#fff class A critical class B,C exploit class D,E postexploit class F impact ``` **CVE-2025-32432** é uma vulnerabilidade crítica de **execução remota de código** (RCE) no **[[Craft CMS]]**, afetando todas as versões principais (3.x, 4.x e 5.x). A falha existe na funcionalidade de geração de transformações de assets (`/actions/assets/generate-transform`) e pode ser explorada por atacantes não autenticados para executar código PHP arbitrário no servidor. A vulnerabilidade é uma **injeção de objeto PHP via desserialização** - o endpoint aceita um payload JSON com um objeto PHP malicioso que, ao ser desserializado, encadeia chamadas através da classe `GuzzleHttp\Psr7\FnStream`, resultando em execução de código arbitrário. A falha é considerada um bypass adicional para [[cve-2023-41892|CVE-2023-41892]], indicando reincidência no mesmo vetor de ataque. **Pontuação de risco:** - CVSS v3.1: **10.0** (Crítico) - pontuação máxima possível - EPSS: **~82%** de probabilidade de exploração nos próximos 30 dias - CISA KEV: **adicionado em 2026-03-20** - prazo de remediação: **2026-04-03** - Exploit público: **PoC disponível no GitHub** (script Python multi-thread com suporte a alvos em massa) ## Impacto Técnico Um atacante que explore esta vulnerabilidade com sucesso pode: - **Execução de código PHP arbitrário não autenticado:** comprometimento completo do servidor web - **Leitura de dados sensíveis:** acesso ao arquivo `.env` do Craft CMS contendo credenciais de banco de dados, chaves de API, e secrets da aplicação - **Escalada para comprometimento de banco de dados:** com as credenciais obtidas via `.env`, acesso completo ao banco de dados da aplicação - **Instalação de web shells:** persistência via upload de shell PHP na instância comprometida **Impacto para organizações LATAM/Brasil:** O [[Craft CMS]] é utilizado por agências digitais, portais corporativos e veículos de mídia no Brasil. A disponibilidade de um script Python automatizado capaz de escanear múltiplos alvos em paralelo aumenta significativamente o risco de varreduras oportunistas em massa. Organizações nos setores de [[mídia]], [[technology]] e [[government]] que utilizam Craft CMS devem tratar este CVE como urgente. ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | Pixel & Tonic | Craft CMS | 3.0.0-RC1 – 3.9.14 | 3.9.15 | | Pixel & Tonic | Craft CMS | 4.0.0-RC1 – 4.14.14 | 4.14.15 | | Pixel & Tonic | Craft CMS | 5.0.0-RC1 – 5.6.16 | 5.6.17 | **Não afetado:** Versões anteriores ao 3.0.0-RC1 (não possuem o endpoint vulnerável). ## Patch e Mitigação **Patch oficial:** - Advisory: [GHSA-f3gw-9ww9-jmc3](https://github.com/craftcms/cms/security/advisories/GHSA-f3gw-9ww9-jmc3) - Versões corrigidas: **3.9.15 / 4.14.15 / 5.6.17** - Data de lançamento: **2025-04-28** - Download: [github.com/craftcms/cms/releases](https://github.com/craftcms/cms/releases) **Como aplicar:** 1. Verificar versão atual: `php craft --version` ou verificar via painel admin 2. Fazer backup completo do banco de dados e arquivos antes da atualização 3. Atualizar via Composer: `composer update craftcms/cms` 4. Ou fazer download manual da versão corrigida e substituir os arquivos do core 5. Limpar caches: `php craft clear-caches/all` **Mitigações temporárias** (quando patch não é imediatamente possível): - Bloquear requisições POST ao endpoint `/actions/assets/generate-transform` via WAF ou configuração do servidor web - Restringir acesso ao painel admin do Craft CMS por IP - Auditar logs de acesso em busca de requisições ao endpoint vulnerável com payloads JSON anômalos ## Exploração Ativa **Status atual:** ✅ **Exploração ativa confirmada** - PoC público disponível com automação para varredura em massa **Evidências de uso em ataques:** - **CISA KEV (2026-03-20)**: inclusão na KEV confirma exploração ativa in-the-wild - **Sangfor FarSight Labs (2025-04-28)**: confirmou reprodução da vulnerabilidade e reportou primeiros casos de exploração ativa - **GitHub (PoC público)**: script Python disponível públicamente suporta scanning multi-thread de múltiplos alvos, facilitando ataques em escala **Relação com CVE anterior:** - [[cve-2023-41892|CVE-2023-41892]] - mesmo vendor, mesmo vetor (desserialização em Craft CMS); o CVE-2025-32432 é classificado como bypass da correção anterior, sugerindo que a mitigação de 2023 foi incompleta ## CISA KEV Esta vulnerabilidade foi adicionada ao **CISA Known Exploited Vulnerabilities (KEV) Catalog** em **2026-03-20**. - **Prazo de remediação para agências federais EUA:** **2026-04-03** - **Recomendação para o setor privado:** atualizar imediatamente para versão corrigida; auditar logs históricos do servidor web em busca de requisições ao endpoint `/actions/assets/generate-transform` - **Referência:** [CISA KEV - CVE-2025-32432](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) ## Detecção e Resposta ### Splunk SPL ```spl index=web_logs (uri="/actions/assets/generate-transform" method=POST) | eval payload_size=len(request_body) | where payload_size > 50 | stats count, values(src_ip) as source_ips, values(user_agent) as agents by uri, status | where count > 3 | sort -count ``` ```spl index=web_logs uri="/actions/assets/generate-transform" method=POST status IN (200, 500) | rex field=request_body "(?i)(GuzzleHttp|FnStream|system\(|exec\(|passthru\(|shell_exec\()" | eval severity=if(match(request_body, "(?i)(system|exec|passthru|shell_exec)"), "CRITICAL", "HIGH") | table _time, src_ip, uri, status, severity, request_body | sort -_time ``` ### Microsoft Sentinel KQL ```kql // Detecção de requisições ao endpoint vulnerável do Craft CMS CommonSecurityLog | where TimeGenerated > ago(24h) | where RequestURL contains "/actions/assets/generate-transform" | where RequestMethod == "POST" | project TimeGenerated, SourceIP, RequestURL, RequestMethod, RequestContext, AdditionalExtensions | order by TimeGenerated desc ``` ```kql // Detecção de execução de processos filho a partir de servidor web (pós-exploração) SecurityEvent | where TimeGenerated > ago(7d) | where EventID == 4688 | where ParentProcessName contains "php" or ParentProcessName contains "apache" or ParentProcessName contains "nginx" | where CommandLine has_any ("cmd.exe", "powershell", "bash", "sh -c", "wget", "curl", "/tmp/") | project TimeGenerated, Computer, Account, ParentProcessName, CommandLine, NewProcessName | order by TimeGenerated desc ``` ### Regra Sigma ```yaml title: Craft CMS CVE-2025-32432 RCE Exploit Attempt id: a1b2c3d4-e5f6-7890-abcd-ef1234567890 status: experimental description: > Detecta tentativas de exploração da CVE-2025-32432 via POST ao endpoint de geração de transformação de assets do Craft CMS (desserialização PHP). references: - https://github.com/craftcms/cms/security/advisories/GHSA-f3gw-9ww9-jmc3 author: RunkIntel date: 2026-03-23 tags: - attack.initial_access - attack.t1190 - cve.2025-32432 logsource: category: webserver detection: selection: cs-uri-stem|contains: '/actions/assets/generate-transform' cs-method: 'POST' filter_legitimate: c-ip|cidr: - '10.0.0.0/8' - '172.16.0.0/12' - '192.168.0.0/16' condition: selection and not filter_legitimate falsepositives: - Requisições legítimas de usuários autenticados ao painel do Craft CMS level: high ``` ### EDR - CrowdStrike Falcon **Custom IOA Rule (Behavioral Detection) - processos PHP gerando shells:** ``` Processo pai: php, php-fpm, php8.* Linha de comando do filho contém: /bin/sh, /bin/bash, cmd.exe, wget, curl Caminho de escrita: /tmp/, /var/www/html/uploads/, ./web/uploads/ ``` **Threat Hunting Query (Falcon Insight/NG-SIEM):** ``` event_simpleName=ProcessRollup2 | search FileName IN (php, php-fpm, php8*) | search CommandLine IN ("*GuzzleHttp*", "*FnStream*", "*system(*", "*passthru*") | table _time, ComputerName, UserName, FileName, CommandLine, SHA256HashData | sort -_time ``` ## Notas Relacionadas **CVEs relacionados:** [[cve-2023-41892|CVE-2023-41892]] · [[cve-2025-54068|CVE-2025-54068]] **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]] · [[t1505-003-web-shell|T1505.003 - Web Shell]] **Setores em risco:** [[technology]] · [[mídia]] · [[government]] · [[financial]]