Çarşamba günü Google’dan güvenlik araştırmacıları, Sitecore İçerik Yönetim Sistemi platformunda keşfettikleri sıfır gün güvenlik açığı konusunda başarılı bir şekilde bozdukları bir ViewState Searyalizasyon saldırısıyla bağlantılı olarak uyardı.
Saldırı, maruz kalanlardan yararlanmayı içeriyordu Asp.net Google’ın Maniant Tehdit Savunması’nın bir blog yayınına göre, uzaktan kod yürütme anahtarları. 2017 ve önceki Sitecore dağıtım kılavuzlarında örnek bir makine anahtarı ortaya çıkmıştı.– Blog’a göre.
Araştırmacılar saldırıyı hedefleyen kuruluş hakkında herhangi bir ayrıntı vermedi.
Güvenlik açığı, CVE-2025-53690Sitecore Experience Manager ve Sitecore Experience platformunda güvenilmeyen verilerin seansize edilmesiyle bağlantılıdır.
Sitecore, kullanıcıları güvenlik yamaları aracılığıyla hesaplarını derhal güncellemeye ve ortamlarını potansiyel uzlaşma için kontrol etmek için ek adımlar atmaya çağırdı. Bir bültene göre Şirket tarafından Salı. Bülten o zamandan beri güncellendi.
Güvensiz Yapılandırma
Mantiant araştırmacıları, blog yazılarında saldırganın tüm saldırı yaşam döngüsünü gözlemleyemese de, saldırganın “tehlikeye atılan ürünün derin bir şekilde anlaşılmasını” gösterdiğini söyledi.
İstismarın arkasındaki saldırgan “statik kullanmak Asp.net Makine Anahtarı ”, Vulncheck’in Güvenlik Araştırmaları Başkan Yardımcısı Sitecore, Caitlin Condon’un açık durumlarını hedeflemek için ürün belgelerinde daha önce yayınlanmış olan” Siber Güvenlik Dalışına verdiği demeçte.
“Sıfır gün güvenlik açığı hem güvensiz yapılandırmanın kendisinden (yani statik makine anahtarının kullanımı) hem de halka maruz kalmadan kaynaklanıyor,” dedi Condon, “ve daha önce birçok kez gördüğümüz gibi, tehdit aktörleri kesinlikle belgeleri okuyor.”