Sabotage Silencieux : Les Sites Craft CMS Non Corrigés Pris pour Cible par des Hackers Injecteurs de Code

Un lundi calme de ce mois de juin, une nouvelle entrée est apparue dans le catalogue des vulnérabilités exploitées connues de la CISA - une note technique qui, pour des milliers d’organisations, pourrait annoncer la catastrophe. La faille, enfouie au cœur de la populaire plateforme Craft CMS, n’est pas un bug théorique : des hackers l’exploitent déjà activement, implantant du code malveillant et forçant les portes vers une compromission totale du serveur. Désormais, alors qu’une échéance fédérale approche, les administrateurs s’empressent de défendre leur territoire numérique avant que les attaquants ne s’y infiltrent.

Anatomie d’une Brèche

La vulnérabilité au cœur de cette crise, CVE-2025-35939, est bien plus qu’une simple erreur de codage. Elle provient d’une mauvaise gestion du paramètre “return URL” par Craft CMS, qui est enregistré dans les fichiers de session PHP sans filtrage adéquat des entrées. Cela permet à des attaquants non authentifiés d’injecter du code PHP arbitraire à un emplacement prévisible sur le serveur - un scénario classique pour une exploitation future.

Mais le véritable danger apparaît lorsque cette faille est enchaînée à une autre faiblesse, CVE-2025-32432, elle-même issue du framework Yii sous-jacent (CVE-2024-58136). En déposant d’abord une charge malveillante via CVE-2025-35939 puis en déclenchant son exécution par un point de terminaison de transformation d’image vulnérable, les attaquants peuvent prendre le contrôle total du serveur - sans jamais avoir à s’authentifier.

Pour les organisations utilisant des versions affectées de Craft CMS, les risques sont clairs : les attaquants peuvent déployer des web shells, voler des données sensibles, pivoter plus profondément dans les réseaux ou établir discrètement une persistance à long terme. Bien que la CISA n’ait pas encore confirmé de cas de ransomware, la facilité technique et la disponibilité publique du code d’exploitation rendent ce bug attractif tant pour les groupes criminels que pour les acteurs étatiques.

La réponse fédérale a été rapide : les agences ont jusqu’au 23 juin pour corriger, atténuer ou mettre hors ligne les instances vulnérables de Craft CMS. L’urgence fait écho aux actions de la CISA sur des failles antérieures de Craft CMS, révélant un schéma inquiétant - malgré sa part de marché modeste, Craft CMS reste une cible de choix en raison de son exposition et de la sophistication des attaques disponibles.

Et Maintenant ? Se Défendre Contre l’Exploitation

Les administrateurs sont vivement encouragés à mettre à jour immédiatement vers Craft CMS 4.15.3 ou 5.7.5, afin de fermer également la voie RCE chaînée. Là où la correction tarde, les experts recommandent de désactiver les points de terminaison à risque, de renforcer les règles du pare-feu applicatif web (WAF) et de surveiller certains signaux : fichiers PHP inattendus dans les répertoires de session, requêtes de transformation d’image inhabituelles ou connexions sortantes pouvant indiquer l’activité d’un web shell.

La leçon est claire : dans le monde rapide des vulnérabilités CMS, même les plateformes moins répandues comme Craft peuvent devenir du jour au lendemain des terrains de chasse privilégiés pour la cybercriminalité. Vigilance, correction rapide et surveillance proactive sont les seules défenses contre cette nouvelle forme de sabotage silencieux.

WIKICROOK

• Exécution de Code à Distance (RCE) : L’exécution de code à distance (RCE) désigne le fait qu’un attaquant exécute son propre code sur le système d’une victime, menant souvent à un contrôle total ou à la compromission de ce système.
• Fichiers de Session PHP : Les fichiers de session PHP stockent les données utilisateur sur le serveur. Sans sécurité adéquate, ils peuvent être exploités, mettant en danger la confidentialité des utilisateurs et l’intégrité de l’application.
• Web Shell : Un web shell est un script malveillant téléchargé sur un serveur par des hackers, leur permettant de contrôler le serveur à distance via une interface web.
• Pare-feu Applicatif Web (WAF) : Un pare-feu applicatif web (WAF) surveille et filtre le trafic web, bloquant les schémas d’attaque connus pour protéger les applications web contre les menaces cyber.
• Exploit Chaîné : Un exploit chaîné relie plusieurs vulnérabilités en séquence, permettant aux attaquants de contourner les défenses et de mener des attaques plus dommageables qu’avec une seule faille.

À mesure que le paysage des menaces évolue, la récente épreuve de Craft CMS rappelle brutalement : aucune plateforme n’est trop petite pour échapper à la mire des cybercriminels. Ceux qui tardent à corriger pourraient bientôt faire la une d’une série d’effractions numériques silencieuses.