В феврале 2025 года Агентство кибербезопасности и безопасности инфраструктуры (CISA) присвоило статус критической уязвимости CVE-2019-9874, хотя первоначально её обнаружили ещё в 2019 году. Данная уязвимость демонстрирует, насколько опасными могут оказаться давно известные проблемы безопасности при их систематическом игнорировании.
Детали уязвимости
Эксперты по кибербезопасности обратили внимание на эту проблему после публикации предупреждения CISA, где уязвимость была включена в каталог известных эксплуатируемых уязвимостей. Примечательно, что несмотря на шестилетний возраст, уязвимость продолжает представлять серьёзную угрозу для организаций, использующих устаревшие версии Sitecore.
Техническая суть проблемы заключается в недостатках механизма десериализации модуля Sitecore.Security.AntiCSRF. Конкретно, уязвимость существует в обработке параметра __CSRFTOKEN при HTTP POST-запросах. Злоумышленник может удалённо выполнить произвольный код через манипулирование структурами данных. Классификация по CWE-502 определяет эту уязвимость как "восстановление в памяти недостоверных данных".
Уязвимость затрагивает две основные платформы компании Sitecore. В Content Management System (CMS) проблеме подвержены версии с 7.0 по 7.2 включительно. В платформе опыта Sitecore XP уязвимость присутствует в версиях от 7.5 до 8.2. Оба продукта относятся к категории прикладного программного обеспечения информационных систем.
Оценка по системе CVSS подтверждает критический уровень опасности. По версии CVSS 2.0 базовая оценка составляет максимальные 10.0 баллов с вектором AV:N/AC:L/Au:N/C:C/I:C/A:C. По более современной CVSS 3.0 оценка достигает 9.8 баллов при векторе AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H. Такие показатели означают, что для эксплуатации уязвимости не требуются специальные привилегии или взаимодействие с пользователем.
Важным аспектом является наличие эксплойта в открытом доступе. Исследовательская компания Synacktiv опубликовала подробное техническое описание метода эксплуатации, что значительно увеличивает риски для незащищённых систем. Фактически, любой злоумышленник со базовыми техническими знаниями может воспользоваться этой уязвимостью.
Производитель подтвердил наличие уязвимости и разработал меры по её устранению. На официальном портале поддержки опубликована статья KB0334035 с рекомендациями по защите. При этом статус уязвимости указывается как "устранена", что означает наличие патчей для всех актуальных версий программного обеспечения.
Ситуация с CVE-2019-9874 показательна в нескольких аспектах. Во-первых, она демонстрирует важность своевременного обновления программного обеспечения. Во-вторых, подчёркивает необходимость регулярного аудита безопасности даже для систем, которые считаются стабильными и надёжными. Кроме того, этот случай показывает, что даже шестилетние уязвимости могут представлять актуальную угрозу.
Отраслевые эксперты отмечают, что многие организации продолжают использовать устаревшие версии Sitecore из-за сложностей процесса миграции или зависимостей от кастомных модулей. Однако такая практика создаёт значительные риски для безопасности всей информационной инфраструктуры.
Для защиты от потенциальных атак специалисты рекомендуют немедленно обновить системы до версий, не затронутых уязвимостью. Если немедленное обновление невозможно, следует реализовать дополнительные меры контроля доступа и мониторинга подозрительной активности. Особенное внимание стоит уделить анализу HTTP POST-запросов, содержащих параметр __CSRFTOKEN.
История этой уязвимости напоминает о важности проактивного подхода к кибербезопасности. Регулярное обновление программного обеспечения, мониторинг источников информации об уязвимостях и своевременное применение исправлений остаются ключевыми элементами защиты от киберугроз. Организации, использующие системы управления контентом, должны учитывать этот случай при планировании своих стратегий безопасности.
Особенностью данной ситуации стало то, что уязвимость получила вторую жизнь через шесть лет после первоначального обнаружения. Такой прецедент указывает на необходимость долгосрочного подхода к управлению уязвимостями, даже для тех из них, которые считаются устаревшими. В конечном счёте, безопасность информационных систем требует постоянного внимания и систематического подхода независимо от возраста потенциальных угроз.
Ссылки
- https://bdu.fstec.ru/vul/2025-14503
- https://www.cve.org/CVERecord?id=CVE-2019-9874
- https://www.synacktiv.com/ressources/advisories/Sitecore_CSRF_deserialize_RCE.pdf
- https://support.sitecore.com/kb?id=kb_article_view&sysparm_article=KB0334035
- https://thehackernews.com/2025/03/cisa-flags-two-six-year-old-sitecore.html
