Published: 2025-07-24 08:00
「CraftCMS」の脆弱性
三井物産セキュアディレクション株式会社(MBSD)は7月11日、2025年6月度 MBSD-SOCの検知傾向トピックスについて同社ブログで発表した。
同ブログによると、4月25日に公開されたオープンソースのコンテンツ管理システム「CraftCMS」の脆弱性(CVE-2025-32432)を狙った攻撃を新たに観測しており、同脆弱性が攻撃者に悪用された場合、認証を回避されて任意のコードを実行されてしまう恐れがあるという。
同脆弱性の影響対象は下記の通り。
Craft CMS 3.0.0 以上 3.9.15 未満
Craft CMS 4.0.0 以上 4.14.15 未満
Craft CMS 5.0.0 以上 5.6.17 未満
同脆弱性のCVSS値は10.0(Critical)と評価とされ、深刻な脆弱性に位置づけられており、既にPoC(概念実証コード)が公開され、悪用事例も報告されているため、MBSDでは当該製品を使用している場合は、早急に最新のバージョンにアップデートすることを推奨している。
MBSD-SOCでは、同脆弱性を狙った攻撃を6月4日に初観測しており、攻撃元国ではオランダからの攻撃を多数観測している。同脆弱性を狙った攻撃元国の上位5件は下記の通り。
1:オランダ(97.9%)
2:日本(1.7%)
3:オーストラリア(0.2%)
4:アメリカ(0.1%)
5:ドイツ(0.1%)
| # | 言葉 | 意味 |
|---|---|---|
| 7 | 脆弱性 | ぜいじゃくせい (脆弱性) : vulnerability; weakness; fragility |
| 5 | 攻撃 | こうげき (攻撃) : 1. attack; assault; raid; onslaught; offensive 2. criticism; censure; denunciation; condemnation |
| 3 | 狙う | ねらう (狙う) : 1. to aim at 2. to be after (something); to have an eye on |
| 3 | 観測 | かんそく (観測) : observation; survey; measurement |
| 3 | 未満 | みまん (未満) : less than; under; below |
| 2 | 公開 | こうかい (公開) : opening to the public; making available to the public; putting on display; exhibiting; showing (play, movie, etc.); holding (interview, etc.); open; public |
| 2 | 悪用 | あくよう (悪用) : abuse; misuse; perversion |
| 2 | 下記 | かき (下記) : the following |
| 2 | 通り | とおり (通り) : 1. avenue; street; way; road 2. coming and going; street traffic |
| 2 | 元国 | もとくに (元国) : Motokuni (surname; given) |
| 1 | 三井物産 | みついぶっさん (三井物産) : Mitsui and Co. (organization) |
| 1 | 株式会社 | かぶしきがいしゃ (株式会社) : stock company; corporation; kabushiki kaisha; KK |
| 1 | 検知 | けんち (検知) : detection |
| 1 | 傾向 | けいこう (傾向) : tendency; trend; inclination |
| 1 | 同社 | どうしゃ (同社) : the same firm |
| 1 | 発表 | はっぴょう (発表) : announcement; publication; presenting; statement; communique; making known; breaking (news story); expressing (one's opinion); releasing; unveiling |
| 1 | 管理システム | かんりシステム (管理システム) : management system |
| 1 | 新た | あらた (新た) : new; fresh; novel |
| 1 | 攻撃者 | こうげきしゃ (攻撃者) : aggressor; assailant; invader |
| 1 | 認証 | にんしょう (認証) : 1. certification; attestation; authentication; confirmation 2. Imperial attestation |
| 1 | 回避 | かいひ (回避) : evasion; avoidance |
| 1 | 任意 | にんい (任意) : 1. optional; voluntary; arbitrary; random; discretionary; facultative; spontaneous; any 2. arbitrary |
| 1 | 実行 | じっこう (実行) : execution (e.g. of a plan); carrying out; practice; action; implementation; fulfillment; realization |
| 1 | 恐れ | おそれ (恐れ) : fear; horror; anxiety; concern; uneasiness; reverence |
| 1 | 影響 | えいきょう (影響) : 1. influence; effect 2. to influence; to affect; to have an influence on; to impact; to have an effect on |
| 1 | 対象 | たいしょう (対象) : target; object (of worship, study, etc.); subject (of taxation, etc.) |
| 1 | 値 | あたい (値) : 1. price; cost 2. value; worth; merit |
| 1 | 評価 | ひょうか (評価) : 1. valuation; appraisal; evaluation; assessment; estimation; rating; judging 2. appreciation; recognition; acknowledgement; rating highly; praising |
| 1 | 深刻 | しんこく (深刻) : serious; severe; grave; acute |
| 1 | 位置 | いち (位置) : place; situation; position; location |
| 1 | 既に | すでに (既に) : already; too late |
| 1 | 概念実証 | がいねんじっしょう (概念実証) : proof of concept |
| 1 | 事例 | じれい (事例) : example; precedent; case |
| 1 | 報告 | ほうこく (報告) : report; information |
| 1 | 当該 | とうがい (当該) : appropriate (e.g. authorities); concerned; relevant; said; aforementioned; competent; applicable; respective |
| 1 | 製品 | せいひん (製品) : manufactured goods; finished goods; product |
| 1 | 使用 | しよう (使用) : use; application; employment; utilization; utilisation |
| 1 | 早急 | そうきゅう (早急) : immediate; prompt; quick; rapid; urgent; pressing |
| 1 | 最新 | さいしん (最新) : latest; newest; late-breaking (news) |
| 1 | 推奨 | すいしょう (推奨) : recommendation; endorsement |
| 1 | 初 | はつ (初) : first; new |
| 1 | 多数 | たすう (多数) : 1. large number (of); many 2. majority |
| 1 | 上位 | じょうい (上位) : 1. superior (in rank); top; ranking 2. higher order (e.g. byte) |
| 1 | 件 | くだん (件) : 1. the aforementioned; the said; (man, incident, etc.) in question; the above-mentioned; the aforesaid 2. the usual |
| 1 | 日本 | にほん (日本) : Japan |