Hacker nutzen Schwachstellen in Craft CMS aus
Cyberkriminelle haben gezielt zwei schwerwiegende Sicherheitslücken im Content-Management-System Craft CMS mit Zero-Day-Angriffen ausgenutzt, um unbemerkt in Server einzudringen. Hunderte Server sind möglicherweise schon kompromittiert.
Die Vorfälle wurden erstmals am 14. Februar 2025 von den Analysten der Sicherheitsfirma Orange Cyberdefense SensePost entdeckt. Bei den Angriffen kombinieren die Täter zwei kritische Schwachstellen:
- CVE-2024-58136 (CVSS 9.0) – Eine Sicherheitslücke im zugrunde liegenden Yii-PHP-Framework von Craft CMS. Sie erlaubt unberechtigten Zugriff auf eigentlich geschützte Ressourcen (eine Rückentwicklung von CVE-2024-4990).
- CVE-2025-32432 (CVSS 10.0) – Eine besonders kritische Schwachstelle, über die sich aus der Ferne beliebiger Code auf dem Server ausführen lässt. Sie betrifft eine Bildverarbeitungsfunktion und wurde in den Versionen 3.9.15, 4.14.15 und 5.6.17 geschlossen.
Wie Sicherheitsexperte Nicolas Bourras erklärt, erlaubt CVE-2025-32432 es einem Angreifer, eine manipulierte POST-Anfrage an eine Bildtransformation-Funktion zu senden. Diese interpretiert die mitgelieferten Daten, ohne dass sich der Absender vorher authentifizieren muss – zumindest in bestimmten Versionen des Systems.
Um die Schwachstelle ausnutzen zu können, muss der Angreifer jedoch zunächst eine gültige Asset-ID herausfinden – eine eindeutige Kennung, mit der Craft CMS interne Medien- und Dateielemente verwaltet.
Die Angreifer durchforsten daher mit automatisierten POST-Anfragen potenzielle Asset-IDs, bis sie einen Treffer landen. Anschließend laden sie über ein Python-Skript eine Datei namens filemanager.php von einem GitHub-Repository auf den betroffenen Server. Ab dem 12. Februar wurde diese Datei in autoload_classmap.php umbenannt – und am 14. Februar erstmals aktiv genutzt.
Deutschland unter den meist Betroffenen
Nach bisherigen Erkenntnissen waren bis Mitte April rund 13.000 Craft-CMS-Instanzen potenziell verwundbar, fast 300 davon wurden mutmaßlich kompromittiert. Die meisten betroffenen Systeme befinden sich in den USA, gefolgt von Deutschland, Großbritannien und der Schweiz.
Craft CMS selbst warnt inzwischen auf seiner Website: Wer in seinen Firewall- oder Webserver-Logs verdächtige POST-Anfragen an den Pfad actions/assets/generate-transform findet – insbesondere solche mit dem Begriff __class im Inhalt – sollte davon ausgehen, dass seine Website zumindest gescannt wurde. Das allein sei zwar noch kein Beweis für eine Kompromittierung, ein Warnsignal aber allemal.
Falls jedoch Hinweise auf eine tatsächliche Infektion vorliegen, rät das Unternehmen dringend, Sicherheitsschlüssel auszutauschen, Datenbank-Zugangsdaten zu ändern, alle Benutzerpasswörter zurückzusetzen und verdächtige Anfragen auf Netzwerkebene zu blockieren.
Die Enthüllung der Craft-CMS-Angriffe fiel zusammen mit der Bekanntgabe einer weiteren kritischen Schwachstelle: einer Zero-Day-Lücke in Active! Mail (CVE-2025-42599, CVSS 9.8), die bei gezielten Angriffen auf Unternehmen in Japan zur Ausführung von Schadcode missbraucht wurde. Der Hersteller Qualitia hat den Fehler mit Version 6.60.06008562 behoben. Auch hier bestand die Gefahr, dass Angreifer über manipulierte Anfragen vollständige Kontrolle über betroffene Systeme erlangen oder Dienste gezielt lahmlegen konnten.