Несколько уязвимостей в CMS Sitecore | Блог Касперского

[KL FC Bot]

Исследователи обнаружили три уязвимости в популярной платформе для контент-менеджмента Sitecore Experience Platform:

• CVE-2025-34509 заключается в наличии жестко заданного в коде пароля (причем состоящего из одной буквы), позволяющего атакующему удаленно аутентифицироваться в служебной учетной записи;
• CVE-2025-34510 — уязвимость типа Zip Slip, позволяющая аутентифицированному пользователю загрузить ZIP-архив и распаковать его в корневую папку сайта;
• CVE-2025-34511 также позволяет загрузить на сайт посторонний файл, но на этот раз вообще произвольный.

Используя первую уязвимость совместно с любой из остальных двух, атакующий может удаленно добиться выполнения произвольного кода (RCE) на сервере под управлением Sitecore Experience Platform.

На данный момент нет свидетельств об использовании этих уязвимостей в реальных атаках, однако опубликованный экспертами из watchTowr Labs анализ содержит достаточно подробностей для создания эксплойта, так что злоумышленники могут взять их на вооружение в любой момент.

 

View the full article