CISA dodaje luki Apple, Craft CMS i Laravel Livewire do KEV. Poprawki do 3 kwietnia 2026 roku

Wprowadzenie do problemu / definicja

Agencja CISA rozszerzyła katalog Known Exploited Vulnerabilities (KEV) o pięć podatności dotyczących ekosystemu Apple, systemu Craft CMS oraz frameworka Laravel Livewire. Umieszczenie błędów w KEV oznacza, iż zostały one potwierdzone jako aktywnie wykorzystywane w rzeczywistych atakach, dlatego organizacje powinny nadać im najwyższy priorytet w procesie zarządzania podatnościami.

Nowe wpisy obejmują trzy luki Apple oraz po jednej podatności w Craft CMS i Laravel Livewire. Dla wszystkich wskazanych pozycji wyznaczono termin wdrożenia działań naprawczych na 3 kwietnia 2026 roku.

W skrócie

• CISA dodała do KEV pięć aktywnie wykorzystywanych podatności.
• Najpoważniejsze ryzyko dotyczy zdalnego wykonania kodu w Craft CMS i Laravel Livewire.
• Luki Apple obejmują WebKit oraz komponenty jądra systemu.
• Termin remediacji wyznaczono na 3 kwietnia 2026 roku.
• Organizacje powinny nie tylko wdrożyć poprawki, ale również sprawdzić, czy nie doszło już do kompromitacji.

Kontekst / historia

Decyzja CISA wpisuje się w rosnące znaczenie podejścia opartego na realnej eksploatacji, a nie wyłącznie na ocenie CVSS. W praktyce podatność aktywnie wykorzystywana przez napastników stanowi większe ryzyko operacyjne niż wiele innych błędów, choćby jeżeli formalnie mają one wysoką ocenę techniczną.

W przypadku Craft CMS chodzi o lukę CVE-2025-32432, opisaną jako podatność typu code injection prowadząca do zdalnego wykonania kodu. Problem został usunięty w wersjach 3.9.15, 4.14.15 oraz 5.6.17. Publiczne analizy wskazywały wcześniej, iż luka była wykorzystywana jako zero-day i służyła między innymi do wdrażania koparek kryptowalut oraz narzędzi proxy.

Druga serwerowa podatność, CVE-2025-54068, dotyczy Laravel Livewire v3. Umożliwia ona nieuwierzytelnionemu atakującemu osiągnięcie zdalnego wykonania poleceń w określonych scenariuszach konfiguracyjnych. Producent usunął problem w wersji 3.6.4 i podkreślił brak skutecznych obejść zastępczych.

W części dotyczącej Apple CISA wskazała trzy błędy: CVE-2025-31277 w WebKit oraz CVE-2025-43510 i CVE-2025-43520 w jądrze systemu. Tego typu podatności mogą stanowić element większych łańcuchów exploitacji wykorzystywanych do infekcji urządzeń i kradzieży danych.

Analiza techniczna

Najgroźniejsza z perspektywy systemów webowych jest podatność CVE-2025-32432 w Craft CMS. Obejmuje ona wiele linii rozwojowych produktu i pozwala na wykonanie arbitralnego kodu po stronie serwera. W praktyce oznacza to możliwość przejęcia aplikacji, dostępu do danych, sekretów środowiskowych, a także wykorzystania serwera jako punktu wyjścia do dalszego ruchu bocznego w infrastrukturze.

CVE-2025-54068 w Laravel Livewire wynika z obsługi aktualizacji adekwatności komponentów podczas procesu hydracji. Luka dotyczy wyłącznie gałęzi v3 i nie obejmuje starszych głównych wersji. Choć eksploatacja wymaga określonego sposobu montowania komponentu, nie wymaga logowania ani interakcji użytkownika, co znacząco podnosi poziom ryzyka w podatnych wdrożeniach.

Trzy luki Apple mają charakter błędów korupcji pamięci. CVE-2025-31277 w WebKit może zostać wywołana przez odpowiednio spreparowaną treść internetową, co czyni ją szczególnie użyteczną w atakach opartych na przeglądarce lub komponentach renderujących zawartość webową. Z kolei CVE-2025-43510 i CVE-2025-43520 dotyczą jądra systemu i mogą prowadzić do awarii, nieoczekiwanych zmian w pamięci współdzielonej lub zapisu do pamięci jądra.

Kluczowy jest sam fakt wpisania tych luk do katalogu KEV. Oznacza to, iż zagrożenie nie ma charakteru wyłącznie laboratoryjnego, ale zostało potwierdzone w aktywnych kampaniach lub incydentach.

Konsekwencje / ryzyko

Dla organizacji utrzymujących aplikacje webowe ryzyko jest bezpośrednie i operacyjnie bardzo istotne. Udane wykorzystanie podatności w Craft CMS lub Laravel Livewire może prowadzić do przejęcia serwera aplikacyjnego, wdrożenia web shelli, kradzieży danych klientów, przejęcia tokenów dostępowych oraz dalszego rozprzestrzeniania się atakującego w sieci.

Craft CMS bywa wykorzystywany w projektach publicznych, marketingowych i korporacyjnych, które są często wystawione bezpośrednio do internetu. To skraca czas między ujawnieniem aktywnej eksploatacji a automatyzacją masowych prób ataku. W przypadku Laravel Livewire dodatkowym problemem może być ograniczona widoczność komponentu w centralnych systemach inwentaryzacji, szczególnie tam, gdzie aplikacje są rozwijane wewnętrznie.

W środowiskach Apple zagrożenie dotyczy zwłaszcza ataków ukierunkowanych. Połączenie błędu WebKit z lukami kernelowymi może umożliwić budowę bardziej zaawansowanego łańcucha exploitacji, prowadzącego do obejścia zabezpieczeń, eskalacji uprawnień i trwałej kompromitacji urządzenia.

Rekomendacje

Organizacje powinny potraktować nowe wpisy KEV jako sygnał do natychmiastowego działania. Sama aktualizacja jest konieczna, ale w przypadku systemów wystawionych do internetu nie powinna być jedynym krokiem.

• Zidentyfikować wszystkie instancje Craft CMS i potwierdzić aktualizację co najmniej do wersji 3.9.15, 4.14.15 lub 5.6.17.
• Sprawdzić aplikacje korzystające z Laravel Livewire v3 i zaktualizować je minimum do wersji 3.6.4.
• Założyć, iż podatne systemy publiczne mogły zostać już przeskanowane lub naruszone.
• Przeanalizować logi HTTP, logi aplikacyjne, zadania cron, nietypowe procesy i historię wdrożeń pod kątem śladów wykonania kodu.
• Zweryfikować integralność plików, obecność nowych kont uprzywilejowanych, zmiany w sekretach oraz nietypowe połączenia wychodzące.
• W środowiskach Apple wymusić aktualizacje systemowe przez MDM i sprawdzić zgodność urządzeń z najnowszymi poprawkami bezpieczeństwa.
• Wzmocnić detekcję pod kątem exploitacji aplikacji webowych, w tym monitorowanie nietypowych żądań oraz uruchamiania poleceń systemowych przez procesy serwera WWW.
• Jeżeli szybka aktualizacja nie jest możliwa, czasowo ograniczyć ekspozycję usług, zastosować segmentację, dodatkowe reguły WAF i izolację hostów.

W sytuacji, gdy istnieją przesłanki wskazujące na możliwą kompromitację, organizacja powinna uruchomić procedury reagowania na incydent, a nie ograniczać się wyłącznie do wdrożenia poprawek.

Podsumowanie

Dodanie przez CISA podatności Apple, Craft CMS i Laravel Livewire do katalogu KEV potwierdza, iż są one wykorzystywane w praktyce i wymagają pilnej reakcji. Szczególnie niebezpieczne są luki serwerowe prowadzące do zdalnego wykonania kodu bez uwierzytelnienia, ponieważ mogą skutkować szybkim przejęciem publicznie dostępnych aplikacji.

Z perspektywy obrony najważniejsze są trzy działania: szybka identyfikacja podatnych wersji, niezwłoczne wdrożenie aktualizacji oraz równoległe sprawdzenie, czy exploitacja nie nastąpiła już wcześniej. Termin 3 kwietnia 2026 roku należy traktować jako granicę maksymalną, a nie zalecany harmonogram.

Źródła

1. The Hacker News — https://thehackernews.com/2026/03/cisa-flags-apple-craft-cms-laravel-bugs.html
2. NVD: CVE-2025-32432 — https://nvd.nist.gov/vuln/detail/CVE-2025-32432
3. NVD: CVE-2025-54068 — https://nvd.nist.gov/vuln/detail/CVE-2025-54068
4. Apple Security Releases — https://support.apple.com/en-us/122315