21 février 2025Ravie LakshmananSécurité / vulnérabilité Web

Un défaut de sécurité de haute sévérité ayant un impact sur le système de gestion de contenu (CMS) a été ajouté par l’Agence américaine de sécurité de cybersécurité et d’infrastructure (CISA) à ses vulnérabilités exploitées connues (Kev) Catalogue, basé sur des preuves d’exploitation active.

La vulnérabilité en question est CVE-2025-23209 (Score CVSS: 8.1), qui a un impact sur les versions CMS 4 et 5.

“Craft CMS contient une vulnérabilité d’injection de code qui permet l’exécution du code distant car les versions vulnérables ont compromis les clés de sécurité des utilisateurs”, a indiqué l’agence.

Cybersécurité

La vulnérabilité affecte la version suivante du logiciel –

  • > = 5.0.0-RC1,
  • > = 4.0.0-rc1,

Dans un avis libéré Sur GitHub, Craft CMS a noté que toutes les versions non corrigées de l’artisanat avec une clé de sécurité compromise sont affectées par le défaut de sécurité.

“Si vous ne pouvez pas mettre à jour vers une version corrigée, faire tourner votre clé de sécurité et garantir que sa confidentialité aidera à atténuer le problème”, a-t-il noté.

Il n’est actuellement pas clair comment les clés de sécurité des utilisateurs ont été compromises et dans quel contexte. Pour atténuer le risque posé par la vulnérabilité, il est recommandé que les agences fédérales de direction de la direction civile (FCEB) appliquent les correctifs nécessaires d’ici le 13 mars 2025.

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57