「CraftCMS」の脆弱性（CVE-2025-32432）を狙った攻撃 新たに観測 ～ 2025 年 6 月 MBSD-SOC 検知傾向

　三井物産セキュアディレクション株式会社（MBSD）は7月11日、2025年6月度 MBSD-SOCの検知傾向トピックスについて同社ブログで発表した。

　同ブログによると、4月25日に公開されたオープンソースのコンテンツ管理システム「CraftCMS」の脆弱性（CVE-2025-32432）を狙った攻撃を新たに観測しており、同脆弱性が攻撃者に悪用された場合、認証を回避されて任意のコードを実行されてしまう恐れがあるという。

　同脆弱性の影響対象は下記の通り。

Craft CMS 3.0.0 以上 3.9.15 未満
Craft CMS 4.0.0 以上 4.14.15 未満
Craft CMS 5.0.0 以上 5.6.17 未満

　同脆弱性のCVSS値は10.0（Critical）と評価とされ、深刻な脆弱性に位置づけられており、既にPoC（概念実証コード）が公開され、悪用事例も報告されているため、MBSDでは当該製品を使用している場合は、早急に最新のバージョンにアップデートすることを推奨している。

　MBSD-SOCでは、同脆弱性を狙った攻撃を6月4日に初観測しており、攻撃元国ではオランダからの攻撃を多数観測している。同脆弱性を狙った攻撃元国の上位5件は下記の通り。

1：オランダ（97.9%）
2：日本（1.7%）
3：オーストラリア（0.2%）
4：アメリカ（0.1%）
5：ドイツ（0.1%）