Несколько уязвимостей в CMS Sitecore | Блог Касперского

Исследователи выявили три уязвимости — CVE-2025-34509, CVE-2025-34510, CVE-2025-34511 — в Sitecore, включая пароль "b" для предустановленного пользователя.

Исследователи обнаружили три уязвимости в популярной платформе для контент-менеджмента Sitecore Experience Platform:

• CVE-2025-34509 заключается в наличии жестко заданного в коде пароля (причем состоящего из одной буквы), позволяющего атакующему удаленно аутентифицироваться в служебной учетной записи;
• CVE-2025-34510 — уязвимость типа Zip Slip, позволяющая аутентифицированному пользователю загрузить ZIP-архив и распаковать его в корневую папку сайта;
• CVE-2025-34511 также позволяет загрузить на сайт посторонний файл, но на этот раз вообще произвольный.

Используя первую уязвимость совместно с любой из остальных двух, атакующий может удаленно добиться выполнения произвольного кода (RCE) на сервере под управлением Sitecore Experience Platform.

На данный момент нет свидетельств об использовании этих уязвимостей в реальных атаках, однако опубликованный экспертами из watchTowr Labs анализ содержит достаточно подробностей для создания эксплойта, так что злоумышленники могут взять их на вооружение в любой момент.

CVE-2025-34509 — получение доступа через предустановленную учетную запись

В CMS Sitecore имеется несколько дефолтных учетных записей, в числе которых sitecore\ServicesAPI. Разумеется, пароли ко всем учетным записям хранятся в хешированном (и даже посоленном) виде. Но когда пароль состоит всего из одной буквы «b» — это не имеет особого значения. Подобрать пароль получается примерно за три секунды.

Здесь важно уточнить, что разработчики Sitecore рекомендуют не трогать предустановленные учетные записи, поскольку «изменение дефолтной учетной записи может повлиять на другие области модели безопасности» (что бы это ни значило). Следовательно, действующий по инструкции администратор сайта на платформе Sitecore не станет менять пароли предустановленных в системе пользователей. Так что с высокой вероятностью данная учетная запись может найтись на большинстве веб-сайтов, использующих данную CMS.

При этом для пользователя sitecore\ServicesAPI не заданы права и роли, поэтому просто так взять и аутентифицироваться в Sitecore через стандартный интерфейс входа невозможно. Однако исследователи нашли способ обойти обращение к корректной базе данных, что приводит к успешной аутентификации (если интересны подробности — смотрите оригинальное исследование). В результате атакующий получает валидный сессионный cookie. Да, все еще без прав администратора, но его уже можно использовать для дальнейших атак.

CVE-2025-34510 — уязвимость в загрузчике файлов Sitecore

В Sitecore имеется механизм загрузки файлов. Любой аутентифицированный пользователь может создать HTTP-запрос, с помощью которого через этот механизм будет загружен и автоматически распакован ZIP-архив. Суть CVE-2025-34510 заключается в том, что из-за несовершенной процедуры очистки ввода (input sanitization) аутентифицированный атакующий получает возможность провернуть обход пути (path traversal). Подробнее о таком типе уязвимостей, называемом Zip Slip, можно прочитать в нашем посте про обработку ZIP-файлов. То есть в качестве пути распаковки в архиве может быть указано что угодно, например корневая папка веб-сайта. Таким образом атакующий получает возможность закачать что угодно, например собственную командную оболочку.

CVE-2025-34511 — уязвимость в загрузчике файлов модуля Sitecore PowerShell Extentions

CVE-2025-34511 — альтернативный способ компрометации Sitecore. Эта уязвимость содержится в модуле Sitecore PowerShell Extentions. Установка данного модуля необходима для работы ряда расширений Sitecore, например она обязательна при использовании Sitecore Experience Accelerator (одного из самых популярных расширений для этой CMS).

По большому счету тут все работает примерно так же, как и в случае с CVE-2025-34510, только немного проще. В расширении Sitecore PowerShell также есть свой механизм загрузки файлов, который может быть использован аутентифицированным пользователем. Через HTTP-запросы атакующий может загрузить на CMS любые файлы с любыми расширениями и сохранять их в любых папках веб-сайта. То есть в этом случае нет необходимости готовить хитрый ZIP-архив с путем. А результат примерно такой же — загрузка веб-шелла.

Как защититься от атак на Sitecore Experience Platform

Патчи, устраняющие три эти уязвимости, были выпущены еще в мае 2025 года. Если ваша компания использует Sitecore, в особенности в сочетании с Sitecore PowerShell Extensions, мы рекомендуем как можно скорее обновить CMS. Согласно описаниям NIST, CVE-2025-34509 актуальна для Sitecore Experience Manager и Experience Platform версий от 10.1 до 10.1.4 rev. 011974 PRE; для всех вариантов 10.2; от 10.3 до 10.3.3 rev. 011967 PRE; а также от 10.4 до 10.4.1 rev. 011941 PRE. CVE-2025-34510 содержится в Experience Manager, Experience Platform и Experience Commerce версий от 9.0 до 9.3 и от 10.0 до 10.4. А CVE-2025-34511 — во всех версиях Sitecore PowerShell Extensions до версии 7.0.

Нашедшие эти уязвимости исследователи утверждают, что им известно о еще четырех, гораздо более интересных, уязвимостях. Но, поскольку исправления пока не готовы, обещают рассказать о них позже. Так что мы рекомендуем и далее следить за ближайшими обновлениями от разработчика Sitecore.

25.06.2025