أضافت وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) ثغرة أمنية عالية الخطورة تؤثر على نظام إدارة المحتوى Craft CMS إلى قائمة الثغرات المعروفة والمستغلة (KEV)، وذلك بناءً على أدلة تشير إلى استغلالها بشكل نشط.
الثغرة المعنية هي CVE-2025-23209 بدرجة خطورة 8.1 على مقياس CVSS، وتؤثر على إصدارات Craft CMS 4 و5.
وقد تم إصلاحها من قبل مطوري النظام في أواخر ديسمبر 2024 في الإصدارين 4.13.8 و5.5.8.
وقالت الوكالة: “يحتوي Craft CMS على ثغرة حقن تعليمات برمجية تسمح بتنفيذ تعليمات برمجية عن بُعد، حيث إن الإصدارات المعرضة للخطر لديها مفاتيح أمان مستخدمين مخترقة.”
الإصدارات المتأثرة
الثغرة تؤثر على الإصدارات التالية من البرنامج:
الإصدارات من 5.0.0-RC1 إلى أقل من 5.5.5
الإصدارات من 4.0.0-RC1 إلى أقل من 4.13.8
وفي إرشادات نشرتها على GitHub، أشارت Craft CMS إلى أن جميع الإصدارات غير المحدثة من النظام التي تحتوي على مفتاح أمان مخترق تتأثر بهذه الثغرة.
وأضافت: “إذا لم تتمكن من التحديث إلى إصدار مصحح، فإن تغيير مفتاح الأمان الخاص بك وضمان خصوصيته سيساعد في التخفيف من حدة المشكلة.”
تفاصيل إضافية
حتى الآن، ليس من الواضح كيف تم اختراق مفاتيح أمان المستخدمين أو في أي سياق حدث ذلك. ولتخفيف المخاطر الناجمة عن هذه الثغرة، يُوصى بأن تقوم وكالات الفرع التنفيذي الفيدرالي المدني (FCEB) بتطبيق التحديثات اللازمة بحلول 13 مارس 2025.
يذكر أن Craft CMS حذرت في ديسمبر 2024 من استغلال نشط لثغرة أمنية أخرى (CVE-2024-56145) يمكن أن تؤدي إلى تنفيذ تعليمات برمجية عن بُعد عند تمكين إعداد register_argc_argv في PHP. ولم يتم إضافة هذه الثغرة بعد إلى قائمة CISA للثغرات المستغلة.
