WatchTowr Labs’taki güvenlik araştırmacıları, Sitecore deneyim platformunda, saldırganların kimlik doğrulaması olmadan kurumsal web sitelerini tamamen tehlikeye atmasına izin verebilecek yıkıcı bir güvenlik açıkları zinciri ortaya çıkardılar.
Araştırma, siber suçluların web sitesi önbellek sistemlerini nasıl zehirleyebileceğini, ayrıcalıkları artırabileceğini ve dünya çapında binlerce kuruluş tarafından kullanılan sistemlerde uzaktan kod yürütebileceğini ortaya koyuyor.
HTML önbellek zehirlenmesi saldırıları sağlar
En çok ilgili güvenlik açığı, CVE-2025-53693 olarak adlandırılan, hiçbir kullanıcı kimlik bilgisinin yürütülmesini gerektiren bir HTML önbellek zehirlenmesi tekniğine odaklanır.
Araştırmacılar, önbelleğe alınmış web sitesi içeriğini manipüle etmek için Sitecore’un XAMLPageHandlerFactory’deki güvenli olmayan yansıma mekanizmalarından yararlanabileceklerini keşfettiler ve saldırganların şüphesiz ziyaretçiler tarafından görüntülenen meşru sayfalara kötü amaçlı kod enjekte etmesine izin verdiler.
Saldırı, Sitecore’un önbellek sistemini platformun XAML işleyicisindeki daha önce gözden kaçan bir yolla hedefleyerek çalışır.
Saldırganlar, “/-/XAML/” bitiş noktasına belirli HTTP istekleri hazırlayarak, kötü niyetli yüklerle meşru önbelleğe alınmış HTML içeriğinin üzerine yazmak için AddTocache yöntemini çağırabilir.
.webp)
Bu teknik özellikle tehlikelidir, çünkü web sitesi ziyaretçilerine sunulan gerçek içeriği etkiler ve algılamayı son derece zorlaştırır.
Önbellek zehirlenmesi güvenlik açığının temel yönleri şunlardır:
- Sıfır kimlik doğrulaması gerekli – Saldırganlar bu güvenlik açığını geçerli kimlik bilgileri olmadan kullanabilir.
- Doğrudan içerik manipülasyonu – Kötü niyetli HTML, kullanıcılara sunulan meşru önbelleğe alınmış içeriğin yerini alabilir.
- Gizli operasyon – Zehirli önbellek normal şekilde çalışır, bu da algılamayı zorlaştırır.
- Yaygın etki potansiyeli – Etkilenen Sitecore örneklerinde önbelleğe alınmış içerik potansiyel bir hedef haline gelir.
Bu güvenlik açığını özellikle şiddetli kılan şey, Sitecore’un ImserVice API’si internete maruz kaldığında önbellek anahtarlarının numaralandırılabilmesinin kolaylığıdır – araştırmacıların şaşırtıcı derecede yaygın bulduğu bir yapılandırma.
Bu API’ye erişilebildiğinde, saldırganlar bir web sitesindeki tüm önbellekleri ve bunlarla ilişkili önbellek anahtarlarını sistematik olarak tanımlayabilir ve kör bir saldırıyı tam olarak hedeflenen bir saldırıya dönüştürebilir.
Kısıtlı ortamlarda bile, araştırmacılar zamanlama saldırıları ve yanıt analizi yoluyla kaba kuvvet önbellek anahtarları için teknikler geliştirdiler.
Deserializasyon kusurları yoluyla RCE
Önbellek zehirlenme kapasitesine dayanan araştırmacılar, saldırı zincirini tamamlayan bir onay sonrası uzaktan kod yürütme güvenlik açığı (CVE-2025-53691) belirlediler.
Bu kusur, kullanıcı tarafından kontrol edilen HTML içeriğinin uygun güvenlik doğrulaması olmadan işlendiği Sitecore’un ConvertTorTimeHtml boru hattındaki güvensiz firalizasyondan yararlanır.
Güvenlik açığı, Sitecore’un HTML içeriğine gömülü olan Base64 kodlu nesneleri sazelleştirmek için güvenli olmayan ikili formayı kullanmasında yatmaktadır.
Saldırganlar, savunmasız boru hattı tarafından işlendiğinde, hedef sunucuda keyfi kod yürüten özel olarak kodlanmış firalizasyon gadget’ları içeren kötü niyetli HTML oluşturabilir.
Saldırı, Sitecore’un içerik düzenleyicisi işlevselliği aracılığıyla tetiklenebilir ve tam idari erişim yerine yalnızca temel içerik düzenleme ayrıcalıkları gerektirir.
Özellikle, bu seans lavabosunun, Sitecore’un altta yatan güvenlik kusurunu düzeltmek yerine savunmasız koda erişilebilir yolları kaldırarak ele almaya çalıştığı eski bir sorun olduğu görülüyor.
WatchTowr araştırması, bu güvenlik açığını tetiklemek için alternatif yolların hala var olduğunu ve sistemlerin önceki güvenlik güncellemelerinden sonra bile maruz kaldığını gösteriyor.
Kritik Etki Zaman Çizelgesi
Güvenlik açıkları, internet tarama verilerine göre dünya çapında tahmini 22.000 sitecore örneğini etkileyen Sitecore Experience Platform sürüm 10.4.1’i ve potansiyel olarak önceki sürümleri etkiler.
Etkilenen sistemler, çeşitli endüstrilerdeki büyük işletmeler tarafından işletilen web sitelerini içerir ve bu da potansiyel etkiyi önemli hale getirir.
Sitecore, Şubat ve Mart aylarında güvenlik açığı raporlarını aldıktan sonra Haziran ve Temmuz 2025’te yamalar yayınlayarak açıklamaya derhal yanıt verdi.
Bununla birlikte, keşif ve yama arasındaki genişletilmiş zaman çizelgesi, kurumsal içerik yönetim sistemlerinde derin gömülü güvenlik kusurlarını ele almanın karmaşıklığını vurgulamaktadır.
Araştırma, popüler kurumsal platformlardaki güvenlik açıklarının binlerce kuruluş arasında basamaklı etkiler yaratabileceği bir eğilimi vurgulamaktadır.
Doğrulama öncesi önbellek zehirlenmesinin kimlik doğrulama kodu yürütülmesi ile kombinasyonu, saldırganların hedef ortamlara kalıcı erişim sağlamasına izin verebilecek tam bir uzlaşma senaryosunu temsil eder.
Sitecore Experience platformunu kullanan kuruluşlar, en son güvenlik yamalarını uyguladıklarını ve gereksiz yere İnternet tabanlı saldırılara maruz kalmadıklarından emin olmak için Itemservice API konfigürasyonlarını incelediklerini hemen doğrulamalıdır.
Keşif, kritik kurumsal altyapı bileşenleri için düzenli güvenlik değerlendirmelerinin önemini açık bir hatırlatma görevi görüyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!