B
今週中
Craft CMSのassets/generate-transformエンドポイントにおいて、認証なしでリモートコード実行(RCE)が可能な脆弱性
📌 一言でいうと
Craft CMSのassets/generate-transformエンドポイントにおいて、認証なしでリモートコード実行(RCE)が可能な脆弱性が発見されました。Yiiのデシリアライゼーションガジェットチェーンを悪用し、PHPセッションファイルを汚染することで、攻撃者は任意のコマンドを実行できます。影響を受けるバージョンは3.9.14、4.14.14、5.6.16以下です。
🏢影響範囲
Craft CMSを利用してウェブサイトを運用している全世界の組織および企業。
✅該当時の対応
最新のセキュリティパッチを適用し、Craft CMSを修正済みバージョンにアップデートしてください。また、WAF等で不審なリクエストを遮断することを検討してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Craft CMS CVE-2025-32432 (RCE) 対応について
お疲れさまです。Craft CMSにおける深刻な脆弱性に関する情報共有です。
■ 概要
Craft CMSのassets/generate-transformエンドポイントにおいて、認証不要でリモートコード実行(RCE)が可能な脆弱性が報告されました。Yiiのデシリアライゼーションガジェットチェーンを悪用し、PHPセッションファイルを汚染することで、攻撃者がサーバー上で任意のコマンドを実行できる可能性があります。
■ 影響範囲
- Craft CMS バージョン 3.9.14 以下
- Craft CMS バージョン 4.14.14 以下
- Craft CMS バージョン 5.6.16 以下
■ 対応手順
1. 現在利用しているCraft CMSのバージョンを確認してください。
2. 影響を受けるバージョンの場合、速やかに最新の修正済みバージョンへアップデートを適用してください。
3. サーバーログを確認し、assets/generate-transformへの不審なリクエストがないか調査してください。
■ 参考情報
- CVE-2025-32432
- Craft CMS 公式サイト: https://craftcms.com
対応優先度: 高
対応期限: 至急
お疲れさまです。Craft CMSにおける深刻な脆弱性に関する情報共有です。
■ 概要
Craft CMSのassets/generate-transformエンドポイントにおいて、認証不要でリモートコード実行(RCE)が可能な脆弱性が報告されました。Yiiのデシリアライゼーションガジェットチェーンを悪用し、PHPセッションファイルを汚染することで、攻撃者がサーバー上で任意のコマンドを実行できる可能性があります。
■ 影響範囲
- Craft CMS バージョン 3.9.14 以下
- Craft CMS バージョン 4.14.14 以下
- Craft CMS バージョン 5.6.16 以下
■ 対応手順
1. 現在利用しているCraft CMSのバージョンを確認してください。
2. 影響を受けるバージョンの場合、速やかに最新の修正済みバージョンへアップデートを適用してください。
3. サーバーログを確認し、assets/generate-transformへの不審なリクエストがないか調査してください。
■ 参考情報
- CVE-2025-32432
- Craft CMS 公式サイト: https://craftcms.com
対応優先度: 高
対応期限: 至急
Subject: [Security Alert] Craft CMS CVE-2025-32432 - Remote Code Execution (RCE)
Dear IT/Security Team,
We are sharing critical information regarding a vulnerability in Craft CMS.
■ Overview
A pre-authentication remote code execution (RCE) vulnerability has been identified in the assets/generate-transform endpoint. By leveraging a Yii deserialization gadget chain and poisoning PHP session files, an unauthenticated attacker can execute arbitrary commands on the server.
■ Affected Versions
- Craft CMS <= 3.9.14
- Craft CMS <= 4.14.14
- Craft CMS <= 5.6.16
■ Remediation Steps
1. Verify the current version of Craft CMS installed in your environment.
2. Immediately update to the latest patched version provided by the vendor.
3. Review server logs for any suspicious activity targeting the assets/generate-transform endpoint.
■ Reference
- CVE-2025-32432
- Vendor Homepage: https://craftcms.com
Priority: High
Deadline: Immediate
Dear IT/Security Team,
We are sharing critical information regarding a vulnerability in Craft CMS.
■ Overview
A pre-authentication remote code execution (RCE) vulnerability has been identified in the assets/generate-transform endpoint. By leveraging a Yii deserialization gadget chain and poisoning PHP session files, an unauthenticated attacker can execute arbitrary commands on the server.
■ Affected Versions
- Craft CMS <= 3.9.14
- Craft CMS <= 4.14.14
- Craft CMS <= 5.6.16
■ Remediation Steps
1. Verify the current version of Craft CMS installed in your environment.
2. Immediately update to the latest patched version provided by the vendor.
3. Review server logs for any suspicious activity targeting the assets/generate-transform endpoint.
■ Reference
- CVE-2025-32432
- Vendor Homepage: https://craftcms.com
Priority: High
Deadline: Immediate