СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
30.08.2025
#Dev#ИБ

Две критические уязвимости Sitecore: заражение HTML‑кэша и RCE

Две критические уязвимости Sitecore: заражение HTMLкэша и RCE

Источник: labs.watchtowr.com

Исследование, проведенное watchTowr Labs, обнаружило две значимые уязвимости в платформе Sitecore Experience: уязвимость, связанную с заражением HTML‑кэша (CVE-2025-53693 / WT-2025-0023), и уязвимость удаленного выполнения кода после аутентификации (CVE-2025-53691 / RCE). Авторы демонстрируют, что эти недостатки позволяют компрометировать даже, казалось бы, полностью исправленные экземпляры Sitecore.

Краткое описание обнаруженных проблем

  • WT-2025-0023 — «отравление» HTML‑кэша (CVE-2025-53693): уязвимость связана с небезопасным отображением содержимого, что даёт возможность внедрять вредоносный контент в HTML‑кэш.
  • Удалённое выполнение кода после аутентификации (CVE-2025-53691 / RCE): уязвимость, позволяющая злоумышленнику выполнить произвольный код внутри системы после прохождения этапа аутентификации, что значительно повышает риск компрометации.

Как работает эксплуатация

Исследователи показали несколько ключевых элементов, необходимых для успешной эксплуатации:

  • Проблема небезопасного отображения позволяет «отравить» HTML‑кэш и тем самым заставить систему отдавать вредоносный контент без непосредственной авторизации.
  • Критическим фактором является знание ключей кэша. Эти ключи были обнаружены в результате анализа декомпилированного кода Sitecore, что открыло возможность их перечисления с помощью ItemService API.
  • При наличии возможности перечисления и определения действительных ключей кэша атака становится проще и «чище», то есть менее шумной и более эффективной.
  • Исследование также подчёркивает сложности при работе с ограниченными ролями пользователей: в некоторых условиях API может не возвращать результаты, что затрудняет идентификацию элементов.

По словам исследователей, возможность перечислять ключи кэша «упрощает процесс атаки, позволяя использовать более чистый и эффективный метод использования».

Почему это важно

Последствия обнаруженных уязвимостей высоки:

  • Заражение HTML‑кэша позволяет злоумышленнику воздействовать на сайт без предварительной аутентификации и распространять вредоносный контент среди посетителей.
  • Комбинация с RCE (после аутентификации) значительно увеличивает возможности злоумышленника: от установки бэкдоров до полномасштабного контроля над экземпляром Sitecore.
  • Администраторы часто упускают из виду настройки HTML‑кэширования: по умолчанию Sitecore не кэширует содержимое, но при ручном включении кэша появляется дополнительная поверхность атаки.

Рекомендации по снижению риска

Исходя из выводов исследования, эксперты рекомендуют предпринять следующие шаги:

  • Немедленно проверить наличие официальных исправлений и патчей от вендора для CVE-2025-53693 и CVE-2025-53691 и оперативно их установить.
  • Если HTML‑кэширование не критично, временно отключить HTML cache до применения корректных обновлений и проверок конфигурации.
  • Ограничить доступ к ItemService API и контролировать, какие роли и пользователи могут выполнять операции, связанные с перечислением элементов.
  • Провести аудит настроек кэширования и политики ролей, а также логов на предмет подозрительной активности или неожиданного содержимого в кэше.
  • Использовать WAF, мониторинг целостности контента и дополнительные средства обнаружения инъекций/подмены ответа.
  • Пересмотреть практики работы с декомпилированным кодом и артефактами, минимизируя утечки информации о внутренней структуре кэша и ключах.

Вывод

Исследование watchTowr Labs подчёркивает, что даже при своевременном применении патчей платформа может оставаться уязвимой, если конфигурации и доступы не настроены корректно. Комбинация «отравления» HTML‑кэша и возможности RCE создаёт серьёзный риск для управляемых сайтов и их пользователей. Вендорам и администраторам необходимо оперативно реагировать: применять патчи, пересматривать настройки кэша и усиливать контроль доступа к API.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: