CVE-2025-32432 — 神龙十问 AI 深度分析摘要
CVSS 10.0 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:CraftCMS 存在**远程代码执行 (RCE)** 漏洞。 💥 **后果**:攻击者可完全控制服务器,导致数据泄露、网站被篡改或沦为肉鸡。
Q2根本原因?(CWE/缺陷点)
🔍 **根本原因**:**CWE-94** (代码注入)。 📍 **缺陷点**:资产转换生成功能中的**不安全反序列化**,导致 PHP 对象注入。
Q3影响谁?(版本/组件)
📦 **受影响版本**: • **v3.x**: 3.0.0-RC1 至 3.9.14 • **v4.x**: 4.0.0-RC1 至 4.14.14 • **v5.x**: 5.0.0-RC1 至 5.6.16 ⚠️ 注意:RC 测试版也包含在内!
Q4黑客能干啥?(权限/数据)
👮 **黑客权限**:**最高权限 (Root/Admin)**。 📂 **数据风险**:可读取/修改所有数据库内容,执行任意系统命令,彻底接管 CMS。
Q5利用门槛高吗?(认证/配置)
🚪 **利用门槛**:**极低 (0门槛)**。 🔑 **认证**:**无需登录** (Pre-auth)。 🎯 **条件**:只需知道一个有效的 **Asset ID** 即可触发。
Q6有现成Exp吗?(PoC/在野利用)
💣 **现成 Exp**:**有!** • GitHub 上已有多个 PoC (Python/Go)。 • Nuclei 模板已更新。 • 存在自动化扫描工具,在野利用风险极高。
Q7怎么自查?(特征/扫描)
🔎 **自查方法**: 1. 使用 **Nuclei** 扫描 CVE-2025-32432 模板。 2. 检查 CraftCMS 版本是否在受影响列表中。 3. 监控资产转换接口异常请求。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方修复**:**已发布补丁**。 ✅ **安全版本**: • v3.9.15 • v4.14.15 • v5.6.17 📅 发布时间:2025-04-10。
Q9没补丁咋办?(临时规避)
🚧 **临时规避**: 1. **立即升级**到上述安全版本。 2. 若无法升级,限制资产转换接口访问权限。 3. 部署 WAF 拦截反序列化载荷。
Q10急不急?(优先级建议)
🔥 **紧急程度**:**极高 (Critical)**。 📌 **建议**:**立即行动**!CVSS 10.0,无需认证即可 RCE,建议 24 小时内完成修复。