Zanaat İçerik Yönetim Sistemini (CMS) etkileyen yüksek şiddetli bir güvenlik kusuru eklemek ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) tarafından bilinen sömürülen güvenlik açıklarına (Kev) aktif sömürü kanıtlarına dayanarak katalog.
Söz konusu güvenlik açığı CVE-2025-23209 (CVSS puanı: 8.1), CMS CMS sürümleri 4 ve 5’i etkileyen. Aralık 2024’ün sonlarında Proje Bakımcıları tarafından 4.13.8 ve 5.5.8 sürümlerinde ele alınmıştır.
Ajans, “Craft CMS, savunmasız sürümler kullanıcı güvenlik anahtarlarından ödün verdiğinden, uzaktan kod yürütülmesine izin veren bir kod enjeksiyon güvenlik açığı içerir.” Dedi.
Güvenlik açığı, yazılımın aşağıdaki sürümünü etkiler –
- > = 5.0.0-rc1,
- > = 4.0.0-rc1,
Bir danışmanlık içinde piyasaya sürülmüş GitHub’da Craft CMS, güvenliği ihlal edilmiş bir güvenlik anahtarına sahip tüm Craft sürümlerinin güvenlik kusurundan etkilendiğini belirtti.
“Yamalı bir sürüme güncelleme yapamıyorsanız, güvenlik anahtarınızı döndürür ve gizliliğini sağlamak sorunu azaltmaya yardımcı olacaktır.”
Şu anda kullanıcı güvenlik anahtarlarının nasıl tehlikeye atıldığı ve hangi bağlamda net değil. Güvenlik açığının sağladığı riski hafifletmek için Federal Sivil Yürütme Şubesi (FCEB) kurumlarının 13 Mart 2025’e kadar gerekli düzeltmeleri uygulaması önerilmektedir.
Aralık 2024’te Craft CMS uyarılmış aktif bir başkasının aktif sömürülmesi güvenlik kusuru (CVE-2024-56145) PHP `register_argc_argv` yapılandırma ayarı etkinleştirildiğinde uzaktan kod yürütmesine neden olabilir. Güvenlik açığı henüz CISA’nın KEV kataloğuna eklenmedi.
