СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Артем
31.08.2025
#Уязвимости #Dev#ИБ

watchTowr Labs: уязвимости в Sitecore позволяют объединить отравление кэша и выполнение кода в единую цепочку атаки

watchTowr Labs: уязвимости в Sitecore позволяют объединить отравление кэша и выполнение кода в единую цепочку атаки

изображение: recraft

Исследовательская группа watchTowr Labs опубликовала отчёт, в котором описаны три новые уязвимости в платформе Sitecore Experience. Эти недостатки могут быть использованы для раскрытия внутренней информации, а также для организации удалённого выполнения кода. Речь идёт о связанных между собой векторах атаки, объединяющихся в полноценную цепочку эксплойтов, затрагивающую как этап до аутентификации, так и уже после авторизованного доступа.

Первая уязвимость — CVE-2025-53693 — связана с возможностью отравления HTML-кэша через небезопасные механизмы отражения. Вторая — CVE-2025-53691 — позволяет выполнить произвольный код через десериализацию, не защищённую от манипуляций. Третья — CVE-2025-53694 — даёт возможность ограниченному анонимному пользователю получить доступ к ключам кэша, что может быть использовано для последующего подбора и атаки на компоненты платформы.

Компания Sitecore уже выпустила обновления: в июне устранены первые два недостатка, а в июле опубликован патч для третьей уязвимости. Производитель подтвердил, что успешное использование указанных в отчёте уязвимостей может привести к несанкционированному доступу и запуску вредоносного кода.

Кроме описанных проблем, исследование опирается на ранее выявленные уязвимости в том же продукте:

  • CVE-2025-34509 (CVSS 8.2) — наличие жёстко зашитых учётных данных;
  • CVE-2025-34510 (CVSS 8.8) — выполнение кода после обхода путей при наличии авторизации;
  • CVE-2025-34511 (CVSS 8.8) — выполнение кода с использованием расширения PowerShell Sitecore.

По словам исследователя watchTowr Labs Петра Базидло, обнаруженные уязвимости можно связать в единую схему атаки. Она начинается с того, что API ItemService позволяет определить, какие HTML-ключи кэшируются системой. Далее отправляются специально подготовленные HTTP-запросы, способные отравить соответствующие сегменты кэша.

Этот шаг становится трамплином к использованию уязвимости CVE-2025-53691, дающей возможность внедрить вредоносный HTML-контент. Такой подход завершает цепочку, приводящую к удалённому выполнению кода через неограниченный вызов механизма BinaryFormatter.

Исследователь описал технический приём, при котором был задействован ограниченный путь отражения, позволивший манипулировать любым HTML-кэшем. Через этот механизм страницы Sitecore Experience Platform можно подменить, внедрив произвольный JavaScript-код, который после прохождения авторизации активирует выполнение команды.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: