Cacat keamanan tingkat tinggi yang berdampak pada Sistem Manajemen Konten Kerajinan (CMS) telah ditambahkan oleh Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) ke katalog kerentanan yang diketahui (KEV) yang diketahui, berdasarkan bukti eksploitasi aktif.
Kerentanan yang dimaksud adalah CVE-2025-23209 (skor CVSS: 8.1), yang berdampak pada Versi CMS Craft 4 dan 5. Ini ditangani oleh pengelola proyek pada akhir Desember 2024 dalam versi 4.13.8 dan 5.5.8.
“Kerajinan CMS berisi kerentanan injeksi kode yang memungkinkan eksekusi kode jarak jauh karena versi yang rentan telah mengganggu kunci keamanan pengguna,” kata agensi itu.
Kerentanan mempengaruhi versi perangkat lunak berikut –
- > = 5.0.0-rc1,
- > = 4.0.0-rc1,
Dalam sebuah penasihat yang dirilis di GitHub, CMS Craft mencatat bahwa semua versi kerajinan yang tidak ditandingi dengan kunci keamanan yang dikompromikan dipengaruhi oleh cacat keamanan.
“Jika Anda tidak dapat memperbarui ke versi yang ditambal, maka memutar kunci keamanan Anda dan memastikan privasinya akan membantu mengurangi masalah ini,” katanya.
Saat ini tidak jelas bagaimana kunci keamanan pengguna dikompromikan, dan dalam konteks apa. Untuk meringankan risiko yang ditimbulkan oleh kerentanan, disarankan agar lembaga Cabang Eksekutif Sipil Federal (FCEB) menerapkan perbaikan yang diperlukan pada 13 Maret 2025.
Pada bulan Desember 2024, CMS Craft memperingatkan eksploitasi aktif cacat keamanan lain (CVE-2024-56145) yang dapat mengakibatkan eksekusi kode jarak jauh ketika pengaturan konfigurasi php `register_argc_argv` diaktifkan. Kerentanan belum ditambahkan ke Katalog KEV CISA.
