Nicolas Bourras

**Nome do Software Vulnerável e Versões Afetadas** Versões do Craft 3.0.0-RC1 até 3.9.14 Versões do Craft 4.0.0-RC1 até 4.14.14 Versões do Craft 5.0.0-RC1 até 5.6.16 **Descrição** O Craft CMS é vulnerável à execução remota de código. Este é um problema de alto impacto e baixa complexidade. O conjunto de intrusão Mimo foi observado explorando esta vulnerabilidade para implantar webshells, loaders e proxywares, incluindo o minerador de criptomoedas XMRig e o serviço de proxy IPRoyal. Os atacantes estão utilizando técnicas para ocultar atividades maliciosas, indicando um foco em ganho financeiro e potencial expansão para ransomware. Aproximadamente 13.000 instâncias estão vulneráveis, com cerca de 300 já comprometidas. A vulnerabilidade está relacionada ao manuseio inadequado da geração de código. A exploração envolve o envio de uma requisição GET especialmente elaborada para implantar um webshell, permitindo a execução de comandos arbitrários no servidor comprometido. Os atacantes empregam métodos para evadir a detecção, como o uso da biblioteca `alamdar.so` para ocultar processos maliciosos. **Recomendações** Atualize o Craft CMS para a versão 3.9.15 ou posterior. Atualize o Craft CMS para a versão 4.14.15 ou posterior. Atualize o Craft CMS para a versão 5.6.17 ou posterior.