基本信息
漏洞编号: CVE-2025-32432
危险等级: 高危
影响版本: Craft CMS 3.x、4.x、5.x 未修复版本
受影响组件: generate-transform
验证状态: 已验证
修复状态: 官方已发布修复版本
漏洞详情
Craft CMS 是一个灵活、用户友好的内容管理系统,用于创建自定义的数字网络体验。CVE-2025-32432 是一个反序列化漏洞,攻击者可通过构造恶意请求利用 generate-transform 端点触发反序列化,进而执行任意代码,完全控制目标服务器。此漏洞影响范围较广,风险较高。目前,官方已发布安全补丁,建议用户尽快升级到安全版本。
影响范围
影响版本
Craft CMS 3.x:所有未升级至 3.9.15 的版本
Craft CMS 4.x:所有未升级至 4.14.15 的版本
Craft CMS 5.x:所有未升级至 5.6.17 的版本
受影响的组件
- generate-transform 端点
验证方法
- 检查 Craft CMS 是否为受影响版本。
修复方案
方案一:版本升级 (推荐)
升级 Craft CMS 至以下安全版本或更高版本:
- Craft CMS 3.9.15
- Craft CMS 4.14.15
- Craft CMS 5.6.17