Исследование, проведенное watchTowr Labs, обнаружило две значимые уязвимости в платформе Sitecore Experience: уязвимость, связанную с заражением HTML‑кэша (CVE-2025-53693 / WT-2025-0023), и уязвимость удаленного выполнения кода после аутентификации (CVE-2025-53691 / RCE). Авторы демонстрируют, что эти недостатки позволяют компрометировать даже, казалось бы, полностью исправленные экземпляры Sitecore.
Краткое описание обнаруженных проблем
- WT-2025-0023 — «отравление» HTML‑кэша (CVE-2025-53693): уязвимость связана с небезопасным отображением содержимого, что даёт возможность внедрять вредоносный контент в HTML‑кэш.
- Удалённое выполнение кода после аутентификации (CVE-2025-53691 / RCE): уязвимость, позволяющая злоумышленнику выполнить произвольный код внутри системы после прохождения этапа аутентификации, что значительно повышает риск компрометации.
Как работает эксплуатация
Исследователи показали несколько ключевых элементов, необходимых для успешной эксплуатации:
- Проблема небезопасного отображения позволяет «отравить» HTML‑кэш и тем самым заставить систему отдавать вредоносный контент без непосредственной авторизации.
- Критическим фактором является знание ключей кэша. Эти ключи были обнаружены в результате анализа декомпилированного кода Sitecore, что открыло возможность их перечисления с помощью ItemService API.
- При наличии возможности перечисления и определения действительных ключей кэша атака становится проще и «чище», то есть менее шумной и более эффективной.
- Исследование также подчёркивает сложности при работе с ограниченными ролями пользователей: в некоторых условиях API может не возвращать результаты, что затрудняет идентификацию элементов.
По словам исследователей, возможность перечислять ключи кэша «упрощает процесс атаки, позволяя использовать более чистый и эффективный метод использования».
Почему это важно
Последствия обнаруженных уязвимостей высоки:
- Заражение HTML‑кэша позволяет злоумышленнику воздействовать на сайт без предварительной аутентификации и распространять вредоносный контент среди посетителей.
- Комбинация с RCE (после аутентификации) значительно увеличивает возможности злоумышленника: от установки бэкдоров до полномасштабного контроля над экземпляром Sitecore.
- Администраторы часто упускают из виду настройки HTML‑кэширования: по умолчанию Sitecore не кэширует содержимое, но при ручном включении кэша появляется дополнительная поверхность атаки.
Рекомендации по снижению риска
Исходя из выводов исследования, эксперты рекомендуют предпринять следующие шаги:
- Немедленно проверить наличие официальных исправлений и патчей от вендора для CVE-2025-53693 и CVE-2025-53691 и оперативно их установить.
- Если HTML‑кэширование не критично, временно отключить HTML cache до применения корректных обновлений и проверок конфигурации.
- Ограничить доступ к ItemService API и контролировать, какие роли и пользователи могут выполнять операции, связанные с перечислением элементов.
- Провести аудит настроек кэширования и политики ролей, а также логов на предмет подозрительной активности или неожиданного содержимого в кэше.
- Использовать WAF, мониторинг целостности контента и дополнительные средства обнаружения инъекций/подмены ответа.
- Пересмотреть практики работы с декомпилированным кодом и артефактами, минимизируя утечки информации о внутренней структуре кэша и ключах.
Вывод
Исследование watchTowr Labs подчёркивает, что даже при своевременном применении патчей платформа может оставаться уязвимой, если конфигурации и доступы не настроены корректно. Комбинация «отравления» HTML‑кэша и возможности RCE создаёт серьёзный риск для управляемых сайтов и их пользователей. Вендорам и администраторам необходимо оперативно реагировать: применять патчи, пересматривать настройки кэша и усиливать контроль доступа к API.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Две критические уязвимости Sitecore: заражение HTML‑кэша и RCE".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.
