Bir Sitecore Deneyimi Platformu (XP) güvenlik açıkları, saldırganların ihlal ve kaçırma sunucularına kimlik doğrulama yapmadan uzaktan kod yürütme (RCE) gerçekleştirmesine olanak tanır.
Sitecore, web siteleri ve dijital medya arasında içerik oluşturmak ve yönetmek için işletmeler tarafından kullanılan popüler bir kurumsal CMS’dir.
WatchTowr araştırmacıları tarafından keşfedilen bugün açıklanan Auth RCE zinciri üç ayrı güvenlik açıkından oluşmaktadır. “B” olarak ayarlanmış sert kodlanmış bir şifre ile dahili bir kullanıcının (Sitecore \ ServicesApi) varlığına bağlıdır, bu da onu kaçırmayı önemsiz hale getirir.
Bu yerleşik kullanıcı bir yönetici değildir ve atanmış rolleri yoktur. Bununla birlikte, araştırmacılar, Sitecore’un sadece arka uçlu giriş kontrollerinin çekirdek olmayan veritabanı bağlamlarında atlanması nedeniyle alternatif bir oturum açma yolu (/Sitecore/Admin) aracılığıyla kimlik doğrulaması yapmak için kullanabilirler.
Sonuç, saldırganın IIS düzeyinde yetkilendirme ile korunan ancak Sitecore rolü kontrolleri değil dahili uç noktalara doğru bir şekilde erişim sağlayan geçerli bir “.aspnet.cookies” oturumudur.
Bu ilk taban güvenli olduğunda, saldırganlar Sitecore’un Yükleme Sihirbazı’ndaki bir zip kayması kusuru olan ikinci güvenlik açığından yararlanabilir.
WatchTowr’ın açıkladığı gibi, sihirbaz aracılığıyla yüklenen bir zip dosyası gibi kötü amaçlı bir dosya yolu içerebilir. /\/../webshell.aspx. Yetersiz yol dezenfekte edilmesi ve Sitecore’un yolları haritalaması nedeniyle, bu, tam sistem yolu hakkında bilgi sahibi olmasa bile Webroot’a keyfi dosyalar yazma ile sonuçlanır.
Bu, saldırganın bir web kabuğu yüklemesini ve uzaktan kodu yürütmesini sağlar.
Sitecore PowerShell Uzantıları (SPE) modülü (genellikle SXA ile paketlenmiştir) kurulduğunda üçüncü bir güvenlik açığı yararlanır.
Bu kusur, bir saldırganın, saldırgan tarafından belirlenen yollara keyfi dosyaları yüklemesine, uzantıyı veya konum kısıtlamalarını tamamen atlamasına ve güvenilir RCE’ye daha basit bir yol sağlamasına olanak tanır.
Etki ve risk
WatchTowr tarafından bildirilen üç güvenlik açığı Sitecore XP sürümleri 10.1 ila 10.4’ü etkiler.
WatchTowr’ın taramaları, hepsi savunmasız olmasa da, önemli bir saldırı yüzeyini vurgulayan 22.000’den fazla halka açık Sitecore örneğini gösteriyor.
Sorunları ele alan yamalar Mayıs 2025’te sunuldu, ancak CVE ID’leri ve teknik detaylar, müşterilere güncelleme için zaman vermek için 17 Haziran 2025’e kadar ambargo edildi.
Watchtowr CEO’su Benjamin Harris’e BleepingComputer’a yaptığı açıklamada, “Sitecore, bankalar, havayolları ve küresel işletmeler de dahil olmak üzere binlerce ortamda konuşlandırılıyor – bu yüzden buradaki patlama yarıçapı büyük.”
“Ve hayır, bu teorik değil: tam zinciri uçtan uca çalıştırdık. Sitecore’u çalıştırıyorsanız, bundan daha kötüleşmiyor-saldırganların kaçınılmaz olarak düzeltmeyi tersine çevirmeden hemen önce kredileri döndürün ve yama.”
Yazma itibariyle, vahşi doğada kamuya açık bir sömürü kanıtı yoktur.
Bununla birlikte, WatchTowr’ın teknik blogu, tamamen çalışan bir istismar oluşturmak için yeterli ayrıntı içeriyor, bu nedenle gerçek dünyadaki istismar riski yakın.
Yama, karmaşık senaryolar, uzun saatler ve sonsuz yangın tatbikatları anlamına gelir. Artık değil.
Bu yeni kılavuzda Tines, modern BT kuruluşlarının otomasyonla nasıl dengelendiğini bozuyor. Daha hızlı yama, ek yükü azaltın ve stratejik çalışmaya odaklanın – karmaşık komut dosyaları gerekmez.