L’article, une news publiée sur Bleeping Computer le 25 avril 2025, rapporte que deux vulnérabilités dans Craft CMS ont été exploitées dans des attaques de jour zéro pour infiltrer des serveurs et voler des données. Selon CERT Orange Cyberdefense, l’exploitation de ces vulnérabilités est toujours en cours.
Craft CMS est un système de gestion de contenu populaire utilisé pour la création de sites web. Les vulnérabilités exploitées permettent à un attaquant d’exécuter du code à distance (RCE), ce qui peut conduire à une compromission totale du système. Les attaques de jour zéro se réfèrent à l’exploitation de failles de sécurité avant que le développeur n’ait eu la possibilité de créer et de déployer un correctif.
CERT Orange Cyberdefense a été cité comme source de cette information. C’est une organisation qui surveille et répond aux cybermenaces. Ils ont confirmé que l’exploitation de ces vulnérabilités est toujours en cours, ce qui signifie que les attaquants sont toujours en mesure de compromettre les systèmes utilisant Craft CMS.
L’article ne fournit pas de recommandations ou de conseils spécifiques pour remédier à cette situation. Cependant, il est généralement conseillé de mettre à jour régulièrement les systèmes et applications pour minimiser les risques d’exploitation de vulnérabilités.
Logo de Craft CMS
🔗 Source originale : https://www.bleepingcomputer.com/news/security/craft-cms-rce-exploit-chain-used-in-zero-day-attacks-to-steal-data/