Exploit for Code Injection in Craftcms Craft_Cms CVE-2025-32432

Name: Exploit for Code Injection in Craftcms Craft_Cms CVE-2025-32432
Rating: 5 (13 reviews)

2026-06-24 | CVSS 10.0

## https://sploitus.com/exploit?id=776C9ED4-3841-5FC1-B7D1-370CEAB62FAB
# PoC_CVE-2025-32432
CraftCMS CVE-2025-32432 - Clean PoC

**Version nettoyée et améliorée** du PoC original.

### Crédits
- Recherche originale : [Orange Cyberdefense](https://github.com/CTY-Research-1/CVE-2025-32432-PoC) + Chirag Artani
- Version nettoyée : [n40y](https://github.com/n40y)

### Disclaimer
Ce PoC est fourni **à des fins éducatives et de tests autorisés uniquement** (CTF, pentests avec autorisation écrite, etc.).

Toute utilisation sur des systèmes sans autorisation explicite est illégale.

### Améliorations apportées
- Suppression des commentaires en chinois
- Détection automatique de la version de Craft CMS
- Code restructuré et plus lisible
- Meilleure gestion des erreurs
- Support multilingue (FR/EN)

### Versions vulnérables
- Craft CMS 3.x < 3.9.15
- Craft CMS 4.x < 4.14.15  
- Craft CMS 5.x < 5.6.17


### Usage:

#### Check if version is affected :
```bash
python3 craftcms_rce_php_check.py -u https://target.com
```

#### Checking multiple URL :
```bash
python3 craftcms_rce_php_check.py -f urls.txt -t 10
```

#### Run PoC exploit :
```bash
python3 craftcms_final_payload.py -u https://victim.com -c "id"

Options:
    -u/--url       Target base URL (no trailing slash)
    -c/--cmd       Shell command to execute
    -a/--asset     (Optional) Known valid assetId
    -s/--scan-max  Max assetId to scan (default: 300)
```