آژانس امنیت سایبری و زیرساختهای ایالات متحده (CISA) یک آسیب پذیری با شدت بالا را در سیستم مدیریت محتوای Craft (Craft CMS) شناسایی و آن را به فهرست آسیب پذیریهای مورد سوءاستفاده (KEV) اضافه کرده است. این آسیب پذیری که با شناسه CVE-2025-23209 دنبال میشود، به دلیل اکسپلویت فعال آن توسط مهاجمان مورد توجه قرار گرفته است.
این نقص امنیتی از نوع اجرای کد از راه دور (RCE) بوده و نسخههای ۴ و ۵ Craft CMS را در صورتی که کلید امنیتی فاش شده باشد، تحت تأثیر قرار میدهد. کلید امنیتی در Craft CMS نقش حیاتی در ایمنسازی توکنهای احراز هویت کاربران، کوکیهای نشست، مقادیر پایگاه داده و دادههای حساس برنامه دارد.
این نقص امنیتی ناشی از وجود یک آسیب پذیری Code Injection است که به دلیل فاش شدن کلیدهای امنیتی کاربران در نسخههای آسیب پذیر رخ داده است. در حال حاضر، مشخص نیست که کلیدهای امنیتی کاربران چگونه و تحت چه شرایطی فاش شدهاند.
این آسیب پذیری نسخههای زیر از نرمافزار را تحت تأثیر قرار میدهد:
- نسخههای 0.0-RC1 تا پیش از ۵.۵.۵
- نسخههای 0.0-RC1 تا پیش از 4.13.8
CVE-2025-23209 توسط توسعه دهندگان پروژه در اواخر دسامبر ۲۰۲۴ و در نسخههای 4.13.8 و 5.5.8 پچ شده است. Craft CMS در یک توصیهنامه امنیتی که در GitHub منتشر شده است، اعلام کرد که تمام نسخههای پچ نشده این نرمافزار که دارای کلید امنیتی فاش شده هستند، تحت تأثیر این آسیب پذیری قرار دارند.
سازمانهای دولتی فدرال (FCEB) موظف میباشند تا تاریخ ۱۳ مارس ۲۰۲۵ به روزرسانیهای لازم را اعمال کنند. چنانچه کاربران امکان به روزرسانی به نسخه پچ شده را ندارند، تغییر کلید امنیتی و اطمینان از حفظ حریم خصوصی آن میتواند به کاهش این مشکل کمک کند.
