Sabato 04 Luglio 2026 15:27:30 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Vulnerabilities & Patch Management

Spaccato in Due: un Exploit di Craft CMS Scatena Intrusi Silenziosi nel Codice

Pubblicato: 23 Marzo 2026 11:31Categoria: Vulnerabilities & Patch ManagementArea: North AmericaAutore: LOGICFALCON

Una falla critica in Craft CMS sta alimentando attacchi in corso, spingendo ad avvisi urgenti e all’obbligo di patch su tutto il web.

È iniziato in sordina: qualche strana voce nei log, un misterioso picco di traffico di rete in uscita e poi la gelida consapevolezza-codice sconosciuto stava girando su server ritenuti sicuri. Non è la trama di un cyber-thriller, ma l’inquietante realtà che stanno affrontando organizzazioni in tutto il mondo mentre una vulnerabilità zero-day squarcia le installazioni di Craft CMS. La U.S. Cybersecurity and Infrastructure Security Agency (CISA) ha ora lanciato l’allarme, confermando che questa falla non è solo teorica-viene sfruttata attivamente, nel mondo reale, proprio adesso.

Craft CMS, un popolare sistema di gestione dei contenuti che alimenta innumerevoli siti web, è diventato l’epicentro di una nuova ondata di attacchi informatici. Il colpevole? CVE-2025-32432-una vulnerabilità di code injection così grave da meritare il punteggio di minaccia più alto possibile. Scoperta nel corso di un’indagine di incident response, la falla consente agli attaccanti di eseguire codice arbitrario senza autenticazione, consegnando di fatto le chiavi del regno.

Il cuore tecnico dell’exploit risiede nel modo in cui Craft CMS gestisce le trasformazioni degli asset. A causa di un controllo improprio della generazione del codice, gli attaccanti possono iniettare un oggetto PHP appositamente costruito in un file di sessione usando un URL manipolato. Sfruttando la gadget chain del framework Yii, prendono di mira il componente PhpManager, fino a innescare la deserializzazione dell’applicazione e l’esecuzione di codice malevolo. L’intera catena d’attacco è agghiacciante nella sua semplicità: non richiede conoscenze interne né credenziali valide-solo un endpoint vulnerabile e un po’ di know-how.

Pur restando poco chiaro se gruppi ransomware stiano sfruttando attivamente questa falla per estorsione, il vettore pre-autenticazione e gli exploit proof-of-concept pubblici la rendono una calamita per i criminali informatici. Gli esperti di sicurezza avvertono che sono probabili attività post-sfruttamento-come il rilascio di webshell o l’avvio di reverse shell-e che i difensori devono restare in massima allerta per individuare segnali di compromissione.

Gli sviluppatori hanno risposto rilasciando patch per tutte le versioni interessate, in particolare Craft CMS 3.9.15, 4.14.15 e 5.6.17. Questi aggiornamenti rafforzano anche le difese contro una falla correlata, CVE-2023-41892. L’inclusione di questo bug nel catalogo KEV da parte di CISA significa che le agenzie federali sono sottoposte a ordini rigorosi: applicare le patch o disabilitare i sistemi vulnerabili senza ritardi. Per tutti gli altri, il messaggio è altrettanto urgente: aggiornate ora, o rischiate di entrare nella lista crescente delle vittime.

La saga di Craft CMS è un duro promemoria: anche le piattaforme più fidate possono nascondere vulnerabilità devastanti. Man mano che gli attaccanti diventano sempre più ingegnosi, vigilanza e risposta rapida sono gli unici modi per tenere a bada i lupi digitali. Il tempo stringe-le organizzazioni si muoveranno abbastanza in fretta?

WIKICROOK

  • Code Injection: La code injection è un attacco in cui gli hacker inseriscono codice malevolo in un programma, consentendo loro di controllare o compromettere il sistema preso di mira.
  • Deserializzazione: La deserializzazione converte i dati in oggetti utilizzabili dal programma. Se non viene eseguita in modo sicuro, può permettere agli attaccanti di iniettare istruzioni dannose nelle applicazioni.
  • Remote Code Execution (RCE): La Remote Code Execution (RCE) si verifica quando un attaccante esegue il proprio codice sul sistema della vittima, spesso arrivando al controllo completo o alla compromissione di quel sistema.
  • Webshell: Una webshell è un programma nascosto caricato dagli hacker su un sito web compromesso, che offre loro controllo remoto e accesso non autorizzato come una backdoor segreta.
  • Punteggio CVSS: Un punteggio CVSS valuta la gravità delle vulnerabilità di sicurezza da 0 a 10, con numeri più alti che indicano maggiore rischio e urgenza di intervento.