CISAがCraft CMSの脆弱性を「悪用済み」として扱った
2026年3月20日、CISA は Craft CMS の脆弱性 CVE-2025-32432 を Known Exploited Vulnerabilities に追加しました。これは、実際にこの脆弱性が悪用されている証拠があるとして扱われたことを意味します。
脆弱性の名前だけを見ると遠い話に見えますが、サイト運営者にとって重要なのは『公開中のCMSが更新されていない状態は、それだけで攻撃対象になり得る』という点です。
出典:CISA「Known Exploited Vulnerabilities Catalog」および CISA Alerts(2026-03-20)
Craft CMS側はすでに修正版を案内している
Craft CMS 側はこの問題について説明を公開しており、修正版として 3.9.15、4.14.15、5.6.17 を案内しています。つまり、ゼロから難しい対策を考える前に、まず更新できているかどうかが分かれ目です。
逆に言えば、更新していないまま公開を続けているサイトは、対策の入口で止まっている状態とも言えます。
何が危険なのか。見た目では分からない
NVD では、この問題は remote code execution と説明されています。サイトが普通に表示されていても、それは『安全』を意味しません。利用者から見えている画面と、サーバー側の安全性は別の話です。
- トップページが表示されていても危険なことがある
- 管理画面に入れていても更新不足のことがある
- 担当者が変わり、CMSの状態が把握されていないことがある
- 公開後に一度も棚卸ししていないケースがある
『表示できる』は運用の最低条件であって、『安全』の証明ではありません。今回の件はその差をはっきり見せています。
ニュースになるのは一部だけ
大きな被害や有名組織の事例は報道されますが、すべての侵害や改ざんがニュースになるわけではありません。小規模サイトや業務サイトでも、更新不足や設定不備をきっかけに問題が起きることがあります。
そのため、『自分のところはニュースになっていないから大丈夫』という見方は危険です。そもそも表に出ていないだけ、というケースがあります。
今回の件を自分のサイトに引き寄せるなら
この件の直接の対策は、対象バージョンを確認し、必要な更新を行うことです。ただ、それと同時に確認しておきたいのが、公開中のサイトの基本的な露出状態です。
- SSL設定は崩れていないか
- セキュリティヘッダーが未設定のままではないか
- 公開サーバーの基本設定に抜けがないか
- 長期間、外からの確認をしていない状態ではないか
脆弱性そのものをツール1本で解決することはできませんが、『今の公開状態がどう見えているか』を確認しておく意味はあります。特に、更新や保守を外部任せにしているサイトでは有効です。
サイト診断では、Craft CMS の個別バージョン判定そのものではなく、SSLやセキュリティヘッダーなど公開状態の基本項目を確認できます。今回のような『更新済みと思い込んでいるサイト』の入口確認として自然です。
まず確認したいこと
- 自分のサイトで Craft CMS を使っているか確認する
- 使っている場合は対象バージョンと修正版を照合する
- 公開状態の基本設定を外から確認する
- 保守担当・制作会社任せの場合は更新実施日を確認する
情報源
- CISA『CISA Adds Five Known Exploited Vulnerabilities to Catalog』(2026-03-20)
- CISA『Known Exploited Vulnerabilities Catalog』CVE-2025-32432
- Craft CMS『Craft CMS and CVE-2025-32432』
- NVD『CVE-2025-32432 Detail』
- Cyber Centre Canada『Craft CMS security advisory (AV25-300) – Update 1』