Nuove vulnerabilità di sicurezza nel Sitecore Experience Platform
Recentemente sono state scoperte tre nuove vulnerabilità di sicurezza nel Sitecore Experience Platform, che potrebbero essere sfruttate per ottenere la divulgazione di informazioni e l’esecuzione di codice da remoto. Queste falle, secondo watchTowr Labs, sono elencate di seguito:
- CVE-2025-53693 – Avvelenamento della cache HTML tramite riflessioni non sicure.
- CVE-2025-53691 – Esecuzione di codice da remoto (RCE) tramite deserializzazione non sicura.
- CVE-2025-53694 – Divulgazione di informazioni nell’API ItemService con un utente anonimo limitato, che porta all’esposizione delle chiavi di cache utilizzando un approccio di forza bruta.
Le patch per le prime due vulnerabilità sono state rilasciate da Sitecore a giugno e per la terza a luglio 2025. L’azienda ha dichiarato che “lo sfruttamento riuscito delle vulnerabilità correlate potrebbe portare all’esecuzione di codice da remoto e all’accesso non autorizzato alle informazioni”.
Vulnerabilità precedenti nel Sitecore Experience Platform
Queste scoperte si basano su altre tre vulnerabilità nello stesso prodotto, dettagliate da watchTowr a giugno:
- CVE-2025-34509 (CVSS score: 8.2) – Uso di credenziali hard-coded.
- CVE-2025-34510 (CVSS score: 8.8) – Esecuzione di codice da remoto post-autenticazione tramite traversal del percorso.
- CVE-2025-34511 (CVSS score: 8.8) – Esecuzione di codice da remoto post-autenticazione tramite Sitecore PowerShell Extension.
Il ricercatore di watchTowr Labs, Piotr Bazydlo, ha affermato che i nuovi bug scoperti potrebbero essere combinati in una catena di exploit, unendo la vulnerabilità di avvelenamento della cache HTML pre-autenticazione con un problema di esecuzione di codice da remoto post-autenticazione per compromettere un’istanza completamente aggiornata del Sitecore Experience Platform.
Sequenza di eventi per l’esecuzione del codice
L’intera sequenza di eventi che porta all’esecuzione del codice è la seguente: un attore malintenzionato potrebbe sfruttare l’API ItemService, se esposta, per enumerare facilmente le chiavi della cache HTML memorizzate nella cache di Sitecore e inviare richieste di avvelenamento della cache HTTP a quelle chiavi. Questo potrebbe poi essere concatenato con CVE-2025-53691 per fornire codice HTML dannoso che alla fine risulta nell’esecuzione del codice tramite una chiamata BinaryFormatter non limitata.
“Siamo riusciti ad abusare di un percorso di riflessione molto limitato per chiamare un metodo che ci permette di avvelenare qualsiasi chiave di cache HTML,” ha detto Bazydlo. “Quella singola primitiva ha aperto la porta al dirottamento delle pagine del Sitecore Experience Platform – e da lì, al rilascio di JavaScript arbitrario per attivare una vulnerabilità RCE post-autenticazione.”
Considerazioni finali
Le vulnerabilità scoperte nel Sitecore Experience Platform evidenziano l’importanza di mantenere aggiornati i sistemi e di applicare tempestivamente le patch di sicurezza. La combinazione di vulnerabilità pre e post-autenticazione rappresenta una minaccia significativa, poiché può portare a compromissioni complete del sistema. È essenziale che le aziende che utilizzano Sitecore prendano sul serio queste minacce e adottino misure proattive per proteggere i loro ambienti. La sicurezza informatica è un campo in continua evoluzione, e rimanere informati sulle ultime vulnerabilità e sulle migliori pratiche di sicurezza è fondamentale per proteggere le risorse digitali.
Fonte: The Hackers News Per saperne di più
