Alto CVE-2025-32432 Craft CMS

Vulnerabilidad crítica en Craft CMS bajo explotación activa — CVE-2025-32432

Vulnerabilidad · Publicado 20/03/2026 · Actualizado 02/06/2026

Resumen ejecutivo

CISA confirma explotación activa de una vulnerabilidad en Craft CMS sin identificar asociación con campañas de ransomware conocidas. La vulnerabilidad afecta principalmente a empresas con sistemas de gestión de contenidos basados en esta plataforma. El plazo obligatorio para aplicar parches vence el 3 de abril de 2026 según directiva CISA BOD 22-01.

Análisis asistido por IA, contexto LATAM revisado por el equipo 2MCI.

Descripción técnica

Craft CMS contains a code injection vulnerability that allows a remote attacker to execute arbitrary code.

Productos afectados

Craft CMS — Craft CMS

Estado de explotación

⚠️ Explotación activa confirmada — incluida en el catálogo CISA KEV desde el 2026-03-20.

Nombre técnico

Craft CMS Code Injection Vulnerability

¿Qué hacer?

Inventariar instancias de Craft CMS en producción y desarrollo
Aplicar parches del fabricante antes del 3-ABR-2026
Implementar segmentación de red para aislar servidores CMS
Monitorear logs de acceso y cambios de contenido
Si parches no están disponibles, evaluar discontinuar la plataforma o implementar controles compensatorios como WAF
Adoptar 3-ABR-2026 como fecha de remediación crítica independientemente del status de organización federal

Fuentes originales

⬤ CISA KEV ↗ ⬤ Advisory del fabricante ↗

Esta alerta fue generada automáticamente a partir del CISA KEV Catalog.

← Volver a todas las alertas

Datos rápidos

Vendor Craft CMS

Categoría Vulnerabilidad

Impacto Alto

Explotación Desconocido

CVE ID CVE-2025-32432 ↗

Publicado 20/03/2026

Actualizado 02/06/2026

Línea de tiempo

20/03/2026 Publicación del advisory

02/06/2026 Actualización 2MCI

Alertas semanales SI

Recibe las vulnerabilidades críticas relevantes para LATAM cada semana.

Más sobre Craft CMS

Ver todos los advisories →