GHSA-f3gw-9ww9-jmc3

Suggest an improvement
Source
https://github.com/advisories/GHSA-f3gw-9ww9-jmc3
Import Source
https://github.com/github/advisory-database/blob/main/advisories/github-reviewed/2025/04/GHSA-f3gw-9ww9-jmc3/GHSA-f3gw-9ww9-jmc3.json
JSON Data
https://api.osv.dev/v1/vulns/GHSA-f3gw-9ww9-jmc3
Aliases
Published
2025-04-25T15:02:53Z
Modified
2025-04-25T17:35:57.543381Z
Severity
  • 10.0 (Critical) CVSS_V3 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:L CVSS Calculator
Summary
Craft CMS Allows Remote Code Execution
Details

Impact

This is an additional fix for https://github.com/craftcms/cms/security/advisories/GHSA-4w8r-3xrw-v25g

This is a high-impact, low-complexity attack vector. To mitigate the issue, users running Craft installations before the fixed versions are encouraged to update to at least that version.

Details

https://craftcms.com/knowledge-base/craft-cms-cve-2025-32432

References

https://github.com/craftcms/cms/commit/e1c85441fa47eeb7c688c2053f25419bc0547b47

https://github.com/craftcms/cms/blob/3.x/CHANGELOG.md#3915---2025-04-10-critical https://github.com/craftcms/cms/blob/4.x/CHANGELOG.md#41415---2025-04-10-critical https://github.com/craftcms/cms/blob/5.x/CHANGELOG.md#5617---2025-04-10-critical

https://sensepost.com/blog/2025/investigating-an-in-the-wild-campaign-using-rce-in-craftcms/

Credits

Credit to Orange Cyberdefense for discovering a reporting this bug.

Database specific 
{
    "nvd_published_at": "2025-04-25T15:15:36Z",
    "cwe_ids": [
        "CWE-94"
    ],
    "severity": "CRITICAL",
    "github_reviewed": true,
    "github_reviewed_at": "2025-04-25T15:02:53Z"
}
References

Affected packages

Packagist / craftcms/cms

Package

Name
craftcms/cms
Purl
pkg:composer/craftcms/cms

Affected ranges

Type
ECOSYSTEM
Events
Introduced
3.0.0-RC1
Fixed
3.9.15

Affected versions

3.*

3.0.0-RC1
3.0.0-RC2
3.0.0-RC3
3.0.0-RC4
3.0.0-RC5
3.0.0-RC6
3.0.0-RC7
3.0.0-RC7.1
3.0.0-RC8
3.0.0-RC9
3.0.0-RC10
3.0.0-RC10.1
3.0.0-RC11
3.0.0-RC12
3.0.0-RC13
3.0.0-RC14
3.0.0-RC15
3.0.0-RC16
3.0.0-RC16.1
3.0.0-RC17
3.0.0-RC17.1
3.0.0
3.0.0.1
3.0.0.2
3.0.1
3.0.2
3.0.3
3.0.3.1
3.0.4
3.0.5
3.0.6
3.0.7
3.0.8
3.0.9
3.0.10
3.0.10.1
3.0.10.2
3.0.10.3
3.0.11
3.0.12
3.0.13
3.0.13.1
3.0.13.2
3.0.14
3.0.15
3.0.16
3.0.16.1
3.0.17
3.0.17.1
3.0.18
3.0.19
3.0.20
3.0.21
3.0.22
3.0.23
3.0.23.1
3.0.24
3.0.25
3.0.26
3.0.26.1
3.0.27
3.0.27.1
3.0.28
3.0.29
3.0.30
3.0.30.1
3.0.30.2
3.0.31
3.0.32
3.0.33
3.0.34
3.0.35
3.0.36
3.0.37
3.0.38
3.0.39
3.0.40
3.0.40.1
3.0.41
3.0.41.1
3.1.0-beta.1
3.1.0-beta.2
3.1.0-beta.3
3.1.0-beta.4
3.1.0-beta.5
3.1.0-beta.5.1
3.1.0-beta.6
3.1.0-beta.7
3.1.0
3.1.1
3.1.2
3.1.2.1
3.1.2.2
3.1.3
3.1.4
3.1.5
3.1.6
3.1.6.1
3.1.7
3.1.8
3.1.9
3.1.9.1
3.1.10
3.1.11
3.1.12
3.1.13
3.1.14
3.1.15
3.1.16
3.1.17
3.1.17.1
3.1.17.2
3.1.18
3.1.19
3.1.20
3.1.20.1
3.1.21
3.1.21.1
3.1.22
3.1.23
3.1.24
3.1.25
3.1.26
3.1.27
3.1.28
3.1.29
3.1.30
3.1.31
3.1.32
3.1.32.1
3.1.33
3.1.34
3.1.34.1
3.1.34.2
3.1.34.3
3.2.0-alpha.1
3.2.0-alpha.2
3.2.0-alpha.2.1
3.2.0-alpha.3
3.2.0-alpha.4
3.2.0-alpha.5
3.2.0-alpha.6
3.2.0-alpha.6.1
3.2.0-alpha.6.2
3.2.0-alpha.6.3
3.2.0-alpha.6.4
3.2.0-alpha.7
3.2.0-beta.1
3.2.0-beta.2
3.2.0-beta.3
3.2.0-RC1
3.2.0-RC2
3.2.0-RC3
3.2.0
3.2.1
3.2.2
3.2.3
3.2.4
3.2.4.1
3.2.5
3.2.5.1
3.2.6
3.2.7
3.2.8
3.2.9
3.2.10
3.3.0
3.3.0.1
3.3.1
3.3.1.1
3.3.1.2
3.3.2
3.3.3
3.3.4
3.3.4.1
3.3.5
3.3.6
3.3.7
3.3.8
3.3.9
3.3.10
3.3.11
3.3.12
3.3.13
3.3.14
3.3.15
3.3.16
3.3.16.1
3.3.16.2
3.3.16.3
3.3.17
3.3.18
3.3.18.1
3.3.18.2
3.3.18.3
3.3.18.4
3.3.19
3.3.20
3.3.20.1
3.4.0-beta.1
3.4.0-beta.2
3.4.0-beta.3
3.4.0-beta.4
3.4.0-beta.5
3.4.0-RC1
3.4.0-RC1.1
3.4.0-RC2
3.4.0-RC3
3.4.0
3.4.0.1
3.4.0.2
3.4.1
3.4.2
3.4.3
3.4.4
3.4.4.1
3.4.5
3.4.6
3.4.6.1
3.4.7
3.4.7.1
3.4.8
3.4.9
3.4.10
3.4.10.1
3.4.11
3.4.12
3.4.13
3.4.14
3.4.15
3.4.16
3.4.17
3.4.17.1
3.4.18
3.4.19
3.4.19.1
3.4.20
3.4.21
3.4.22
3.4.22.1
3.4.23
3.4.24
3.4.25
3.4.26
3.4.27
3.4.28
3.4.28.1
3.4.29
3.4.29.1
3.4.30
3.5.0-beta.1
3.5.0-beta.2
3.5.0-beta.3
3.5.0-RC1
3.5.0-RC1.1
3.5.0-RC2
3.5.0-RC3
3.5.0-RC4
3.5.0-RC5
3.5.0-RC6
3.5.0
3.5.1
3.5.2
3.5.3
3.5.4
3.5.5
3.5.6
3.5.7
3.5.8
3.5.9
3.5.10
3.5.10.1
3.5.11
3.5.11.1
3.5.12
3.5.12.1
3.5.13
3.5.13.1
3.5.13.2
3.5.14
3.5.15
3.5.15.1
3.5.16
3.5.17
3.5.17.1
3.5.18
3.5.19
3.5.19.1
3.6.0-beta.1
3.6.0-beta.1.1
3.6.0-beta.2
3.6.0-RC1
3.6.0-RC2
3.6.0-RC2.1
3.6.0-RC3
3.6.0-RC4
3.6.0
3.6.0.1
3.6.1
3.6.2
3.6.3
3.6.4
3.6.4.1
3.6.5
3.6.5.1
3.6.6
3.6.7
3.6.8
3.6.9
3.6.10
3.6.11
3.6.11.1
3.6.11.2
3.6.12
3.6.12.1
3.6.13
3.6.14
3.6.15
3.6.16
3.6.17
3.6.18
3.7.0-beta.1
3.7.0-beta.2
3.7.0-beta.3
3.7.0-beta.4
3.7.0-beta.5
3.7.0-beta.6
3.7.0
3.7.1
3.7.2
3.7.3
3.7.3.1
3.7.3.2
3.7.4
3.7.5
3.7.6
3.7.7
3.7.8
3.7.9
3.7.10
3.7.11
3.7.12
3.7.13
3.7.14
3.7.15
3.7.16
3.7.17
3.7.17.1
3.7.17.2
3.7.18
3.7.18.1
3.7.18.2
3.7.19
3.7.19.1
3.7.20
3.7.21
3.7.22
3.7.23
3.7.24
3.7.25
3.7.25.1
3.7.26
3.7.27
3.7.27.1
3.7.27.2
3.7.28
3.7.29
3.7.30
3.7.30.1
3.7.31
3.7.32
3.7.33
3.7.34
3.7.35
3.7.36
3.7.37
3.7.38
3.7.39
3.7.40
3.7.40.1
3.7.41
3.7.42
3.7.43
3.7.44
3.7.45
3.7.45.1
3.7.45.2
3.7.46
3.7.47
3.7.47.1
3.7.48
3.7.49
3.7.50
3.7.51
3.7.52
3.7.53
3.7.53.1
3.7.54
3.7.55
3.7.55.1
3.7.55.2
3.7.55.3
3.7.56
3.7.57
3.7.58
3.7.59
3.7.60
3.7.61
3.7.62
3.7.63
3.7.63.1
3.7.64
3.7.64.1
3.7.65
3.7.65.1
3.7.65.2
3.7.66
3.7.67
3.7.68
3.8.0-beta.1
3.8.0-beta.2
3.8.0-beta.3
3.8.0-beta.4
3.8.0-beta.5
3.8.0-beta.6
3.8.0
3.8.1
3.8.2
3.8.3
3.8.4
3.8.5
3.8.6
3.8.7
3.8.8
3.8.9
3.8.10
3.8.10.1
3.8.10.2
3.8.11
3.8.12
3.8.13
3.8.14
3.8.15
3.8.16
3.8.17
3.9.0
3.9.1
3.9.2
3.9.3
3.9.4
3.9.5
3.9.6
3.9.10
3.9.11
3.9.12
3.9.13
3.9.14

Database specific 

{
    "last_known_affected_version_range": "<= 3.9.14"
}

Packagist / craftcms/cms

Package

Name
craftcms/cms
Purl
pkg:composer/craftcms/cms

Affected ranges

Type
ECOSYSTEM
Events
Introduced
4.0.0-RC1
Fixed
4.14.15

Affected versions

4.*

4.0.0-RC1
4.0.0-RC2
4.0.0-RC3
4.0.0
4.0.0.1
4.0.1
4.0.2
4.0.3
4.0.4
4.0.5
4.0.5.1
4.0.5.2
4.0.6
4.1.0
4.1.0.1
4.1.0.2
4.1.1
4.1.2
4.1.3
4.1.4
4.1.4.1
4.2.0
4.2.0.1
4.2.0.2
4.2.1
4.2.1.1
4.2.2
4.2.3
4.2.4
4.2.5
4.2.5.1
4.2.5.2
4.2.6
4.2.7
4.2.8
4.3.0
4.3.1
4.3.2
4.3.2.1
4.3.3
4.3.4
4.3.5
4.3.6
4.3.6.1
4.3.7
4.3.7.1
4.3.8
4.3.8.1
4.3.8.2
4.3.9
4.3.10
4.3.11
4.4.0-beta.1
4.4.0-beta.2
4.4.0-beta.3
4.4.0-beta.4
4.4.0-beta.5
4.4.0-beta.6
4.4.0-beta.7
4.4.0
4.4.1
4.4.2
4.4.3
4.4.4
4.4.5
4.4.6
4.4.6.1
4.4.7
4.4.7.1
4.4.8
4.4.9
4.4.10
4.4.10.1
4.4.11
4.4.12
4.4.13
4.4.14
4.4.15
4.4.16
4.4.16.1
4.4.17
4.5.0-beta.1
4.5.0-beta.2
4.5.0
4.5.1
4.5.2
4.5.3
4.5.4
4.5.5
4.5.6
4.5.6.1
4.5.7
4.5.8
4.5.9
4.5.10
4.5.11
4.5.11.1
4.5.12
4.5.13
4.5.14
4.5.15
4.6.0-RC1
4.6.0
4.6.1
4.7.0
4.7.1
4.7.2
4.7.2.1
4.7.3
4.7.4
4.8.0
4.8.1
4.8.2
4.8.3
4.8.4
4.8.5
4.8.6
4.8.7
4.8.8
4.8.9
4.8.10
4.8.11
4.9.0
4.9.1
4.9.2
4.9.3
4.9.4
4.9.5
4.9.6
4.9.7
4.10.0-beta.1
4.10.0-beta.2
4.10.0
4.10.1
4.10.2
4.10.3
4.10.4
4.10.5
4.10.6
4.10.7
4.10.8
4.11.0
4.11.0.1
4.11.0.2
4.11.1
4.11.2
4.11.3
4.11.4
4.11.5
4.12.0
4.12.1
4.12.2
4.12.3
4.12.4
4.12.4.1
4.12.5
4.12.6
4.12.6.1
4.12.7
4.12.8
4.12.9
4.13.0
4.13.1
4.13.1.1
4.13.2
4.13.3
4.13.4
4.13.5
4.13.6
4.13.7
4.13.8
4.13.9
4.13.10
4.14.0
4.14.0.1
4.14.0.2
4.14.1
4.14.2
4.14.3
4.14.4
4.14.5
4.14.6
4.14.7
4.14.8
4.14.8.1
4.14.9
4.14.10
4.14.11
4.14.11.1
4.14.12
4.14.13
4.14.14

Database specific 

{
    "last_known_affected_version_range": "<= 4.14.14"
}

Packagist / craftcms/cms

Package

Name
craftcms/cms
Purl
pkg:composer/craftcms/cms

Affected ranges

Type
ECOSYSTEM
Events
Introduced
5.0.0-RC1
Fixed
5.6.17

Affected versions

5.*

5.0.0-RC1
5.0.0
5.0.1
5.0.2
5.0.3
5.0.4
5.0.5
5.0.6
5.1.0
5.1.1
5.1.2
5.1.3
5.1.4
5.1.5
5.1.6
5.1.7
5.1.8
5.1.9
5.1.10
5.2.0-beta.1
5.2.0-beta.2
5.2.0-beta.3
5.2.0-beta.4
5.2.0-beta.5
5.2.0-beta.6
5.2.0
5.2.1
5.2.2
5.2.3
5.2.4
5.2.4.1
5.2.5
5.2.6
5.2.7
5.2.8
5.2.9
5.2.10
5.3.0-beta.1
5.3.0-beta.2
5.3.0
5.3.0.1
5.3.0.2
5.3.0.3
5.3.1
5.3.2
5.3.3
5.3.4
5.3.5
5.3.6
5.4.0
5.4.0.1
5.4.1
5.4.2
5.4.3
5.4.4
5.4.5
5.4.5.1
5.4.6
5.4.7
5.4.7.1
5.4.8
5.4.9
5.4.10
5.4.10.1
5.5.0
5.5.0.1
5.5.1
5.5.1.1
5.5.2
5.5.3
5.5.4
5.5.5
5.5.6
5.5.6.1
5.5.7
5.5.8
5.5.9
5.5.10
5.6.0
5.6.0.1
5.6.0.2
5.6.1
5.6.2
5.6.3
5.6.4
5.6.5
5.6.5.1
5.6.6
5.6.7
5.6.8
5.6.9
5.6.9.1
5.6.10
5.6.10.1
5.6.10.2
5.6.11
5.6.12
5.6.13
5.6.14
5.6.15
5.6.16

Database specific 

{
    "last_known_affected_version_range": "<= 5.6.16"
}