Специалисты по кибербезопасности из watchTowr Labs обнаружили критическую цепочку уязвимостей в Sitecore Experience Platform, позволяющую злоумышленникам полностью компрометировать корпоративные веб-сайты без аутентификации. Исследование демонстрирует, как киберпреступники могут отравлять системы кэширования веб-сайтов, повышать привилегии и выполнять удаленный код на системах, используемых тысячами организаций по всему миру.
Детали уязвимости
Самая опасная уязвимость, получившая идентификатор CVE-2025-53693, связана с техникой отравления HTML-кэша, для выполнения которой не требуются учетные данные пользователя. Исследователи обнаружили, что могут использовать небезопасные механизмы рефлексии в Sitecore XamlPageHandlerFactory для манипулирования кэшированным контентом веб-сайта, что позволяет злоумышленникам внедрять вредоносный код в легитимные страницы, просматриваемые ничего не подозревающими посетителями.
Атака работает путем нацеливания на систему кэширования Sitecore через ранее упущенный из виду путь в XAML-обработчике платформы. Создавая специальные HTTP-запросы к эндпоинту "/-/xaml/", злоумышленники могут вызывать метод AddToCache для перезаписи легитимного кэшированного HTML-контента вредоносными нагрузками. Эта техника особенно опасна, поскольку влияет на фактический контент, предоставляемый посетителям веб-сайта, что делает обнаружение чрезвычайно сложным.
Ключевые аспекты уязвимости отравления кэша включают отсутствие требований к аутентификации - для эксплуатации уязвимости не требуются действительные учетные данные; прямое манипулирование контентом - вредоносный HTML может заменять легитимный кэшированный контент; скрытность операции - отравленный кэш функционирует нормально, что затрудняет обнаружение; возможность массового воздействия - любой кэшированный контент в уязвимых экземплярах Sitecore становится потенциальной мишенью.
Особую серьезность этой уязвимости придает легкость, с которой можно перечислить ключи кэша, когда ItemService API Sitecore доступен из интернета - конфигурация, которую исследователи обнаружили удивительно часто. Когда этот API доступен, злоумышленники могут систематически идентифицировать все кэшируемые элементы на веб-сайте и связанные с ними ключи кэша, превращая потенциально слепую атаку в точно направленное воздействие. Даже в ограниченных средах исследователи разработали техники подбора ключей кэша через атаки по времени и анализ ответов.
На основе возможности отравления кэша исследователи идентифицировали уязвимость выполнения удаленного кода после аутентификации (CVE-2025-53691), которая завершает цепочку атаки. Эта уязвимость использует небезопасную десериализацию в конвейере ConvertToRuntimeHtml Sitecore, где управляемый пользователем HTML-контент обрабатывается без надлежащей проверки безопасности. Проблема заключается в использовании Sitecore небезопасного BinaryFormatter для десериализации объектов в кодировке base64, встроенных в HTML-контент.
Злоумышленники могут создавать вредоносный HTML, содержащий специально кодированные гаджеты десериализации, которые при обработке уязвимым конвейером выполняют произвольный код на целевом сервере. Атака может быть инициирована через функциональность Content Editor Sitecore, требуя только базовых привилегий редактирования контента, а не полного административного доступа. Особую озабоченность вызывает то, что эта точка десериализации, по-видимому, является унаследованной проблемой, которую Sitecore пыталась решить, удаляя доступные пути к уязвимому коду, а не исправляя основную проблему безопасности.
Уязвимости затрагивают Sitecore Experience Platform версии 10.4.1 и потенциально более ранние версии, воздействуя на approximately 22 000 экземпляров Sitecore по всему миру согласно данным интернет-сканирования. Затронутые системы включают веб-сайты, управляемые крупными предприятиями в различных отраслях, что делает потенциальное воздействие значительным.
Sitecore оперативно отреагировала на раскрытие информации, выпустив исправления в июне и июле 2025 года после получения отчетов об уязвимостях в феврале и марте. Однако extended timeline между обнаружением и исправлением подчеркивает сложность решения глубоко встроенных проблем безопасности в корпоративных системах управления контентом.
Исследование подчеркивает тревожную тенденцию, при которой уязвимости безопасности в популярных корпоративных платформах могут создавать каскадные эффекты across тысяч организаций. Сочетание отравления кэша до аутентификации с выполнением кода после аутентификации представляет собой сценарий полной компрометации, который может позволить злоумышленникам установить постоянный доступ к целевым средам.
Организации, использующие Sitecore Experience Platform, должны немедленно убедиться, что они применили последние security patches, и проверить конфигурации своего ItemService API, чтобы убедиться, что они не подвержены ненужному воздействию интернет-атак. Это открытие служит stark reminder о важности регулярных оценок безопасности для критически важных компонентов корпоративной инфраструктуры.
Ссылки
- https://labs.watchtowr.com/cache-me-if-you-can-sitecore-experience-platform-cache-poisoning-to-rce/
- https://www.cve.org/CVERecord?id=CVE-2025-53691
