دو آسیب‌پذیری در سیستم مدیریت محتوای Craft CMS به صورت زنجیره‌ای در حملات zero-day مورد سوءاستفاده قرار گرفت تا سرورها نفوذ کرده و داده‌ها سرقت شود. این آسیب‌پذیری‌ها شامل CVE-2025-32432 (اجرای کد از راه دور در Craft CMS) و CVE-2024-58136 (نقص اعتبارسنجی ورودی در فریمورک Yii) هستند که مهاجمان آنها را ترکیب کردند تا یک مدیر فایل PHP روی سرور نصب کنند.

حمله با بهره‌برداری از CVE-2025-32432 آغاز می‌شود که به مهاجمان اجازه ارسال درخواست مخصوص حاوی “return URL” را می‌دهد که در فایل session PHP ذخیره می‌شود. سپس با استفاده از CVE-2024-58136، مهاجم payload JSON مخرب ارسال کرده تا کد PHP موجود در فایل session اجرا شود. Yii این نقص را در نسخه 2.0.52 و Craft CMS نیز آسیب‌پذیری خود را در نسخه‌های 3.9.15، 4.14.15 و 5.6.17 رفع کردند. توصیه می‌شود مدیران کلید امنیتی، اعتبارنامه‌های پایگاه داده را تجدید کرده و در صورت لزوم کاربران را مجبور به تغییر رمز عبور کنند.