Krytyczna podatność deserializacji niezaufanych danych w Sitecore Experience Manager (XM) i Sitecore Experience Platform (XP) umożliwia atakującemu zdalne wykonanie kodu (Code Injection). Podatność jest aktywnie wykorzystywana w środowiskach produkcyjnych i figuruje w katalogu CISA KEV.
▸ Pokaż oryginał (EN)
Deserialization of Untrusted Data vulnerability in Sitecore Experience Manager (XM), Sitecore Experience Platform (XP) allows Code Injection.This issue affects Experience Manager (XM): through 9.0; Experience Platform (XP): through 9.0.
Podatność (CWE-502) wynika z nieprawidłowej deserializacji danych wejściowych dostarczanych przez użytkownika. Atakujący może przesłać specjalnie spreparowany payload, który podczas procesu deserializacji zostaje wykonany jako kod po stronie serwera. Wektor ataku sieciowy bez wymagań uwierzytelnienia (PR:N, UI:N) oznacza, że exploit można przeprowadzić zdalnie bez żadnej interakcji ofiary. Referencja Google Cloud Threat Intelligence wskazuje na powiązanie z mechaniźmem ViewState deserializacji jako wektorem ataku.
Skuteczny atak prowadzi do pełnego przejęcia kontroli nad systemem — atakujący może wykonać dowolny kod na serwerze, uzyskać dostęp do poufnych danych, modyfikować zawartość aplikacji oraz potencjalnie przeprowadzić lateral movement w sieci wewnętrznej (zakres wpływu S:C, pełna poufność, integralność i dostępność: C:H/I:H/A:H).
Należy niezwłocznie zastosować patche dostępne u producenta zgodnie z artykułem KB1003865 w bazie wsparcia Sitecore (https://support.sitecore.com/kb?id=kb_article_view&sysparm_article=KB1003865). Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu do instancji Sitecore na poziomie firewall oraz monitorowanie ruchu pod kątem nieoczekiwanych żądań deserializacji.
Sitecore Experience Manager (XM) w wersjach do 9.0 włącznie oraz Sitecore Experience Platform (XP) w wersjach do 9.0 włącznie. Dotyczy również środowisk Sitecore Managed Cloud oraz Sitecore Experience Commerce korzystających z tych komponentów.
Podatność powiązana jest z mechaniźmem ViewState deserializacji — szczegóły techniczne opisane w analizie Google Cloud Threat Intelligence: https://cloud.google.com/blog/topics/threat-intelligence/viewstate-deserialization-zero-day-vulnerability. Podatność sklasyfikowana jako zero-day w momencie odkrycia i aktywnie eksploitowana przed wydaniem łatki.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:HSitecore Experience Commerce
APPSitecore≤ 9.0Sitecore Experience Manager
APPSitecore≤ 9.0Sitecore Experience Platform
APPSitecore≤ 9.0Sitecore Managed Cloud
APPSitecorewszystkie wersje
CISA KEV — szczegółyi
- Dostawcai
- Sitecore
- Produkti
- Multiple Products
- Data dodania do KEVi
- 4 września 2025
- Termin remediation (USA)i
- 25 września 2025(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami dostawcy, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
Sitecore Experience Manager (XM), Experience Platform (XP), Experience Commerce (XC) i Managed Cloud zawierają lukę deserializacji niezaufanych danych związaną z użyciem domyślnych kluczy maszyny. Ta usterka pozwala atakującym na exploitowanie ujawnionych kluczy maszyny ASP.NET w celu osiągnięcia RCE.
▸ Pokaż oryginał (EN)
Sitecore Experience Manager (XM), Experience Platform (XP), Experience Commerce (XC), and Managed Cloud contain a deserialization of untrusted data vulnerability involving the use of default machine keys. This flaw allows attackers to exploit exposed ASP.NET machine keys to achieve remote code execution.
Powiązane podatności
Sitecore XP 7.5 Initial Release to Sitecore XP 8.2 Update-7 is vulnerable to an insecure deserialization attac...
Deserialization of Untrusted Data in the Sitecore.Security.AntiCSRF (aka anti CSRF) module in Sitecore CMS 7.0...
Unsafe Reflection umożliwiający Cache Poisoning w Sitecore XM/XP
Multiple Sitecore products allow remote code execution. This affects Experience Manager, Experience Platform, ...
Deserialization of Untrusted Data in Sitecore Experience Platform through 10.2 allows remote attackers to run ...