Sicurezza di livello “B”: tre vulnerabilità in Sitecore CMS

I ricercatori hanno individuato diverse vulnerabilità nella piattaforma Sitecore CMS che consentono l’esecuzione di codice in remoto (RCE) non autenticata.

Alcuni ricercatori hanno scoperto tre vulnerabilità nel popolare sistema di gestione dei contenuti, Sitecore Experience Platform.

  • CVE-2025-34509 implica una password hardcoded (costituita da una sola lettera) che consente a un utente malintenzionato di accedere in remoto come account di servizio.
  • CVE-2025-34510 è una vulnerabilità Zip Slip che consente a un utente autenticato di caricare ed estrarre un archivio ZIP nella directory radice del sito Web.
  • CVE-2025-34511 consente inoltre agli utenti di caricare file esterni nel sito, ma questa volta senza restrizioni.

Combinando la prima vulnerabilità con una delle ultime due, un utente malintenzionato può ottenere l’esecuzione di codice in modalità remota (RCE) in un server che esegue la Sitecore Experience Platform.

Al momento non ci sono prove che queste vulnerabilità vengano sfruttate in natura; tuttavia, l’analisi dettagliata pubblicata da watchTowr contiene informazioni sufficienti per consentire agli autori delle minacce di fornire tutti gli strumenti di cui hanno bisogno in qualsiasi momento.

CVE-2025-34509: accesso tramite un account preimpostato

Il CMS Sitecore include diversi account predefiniti, uno dei quali è sitecore\ServicesAPI. Naturalmente, le password di tutti gli account vengono archiviate in forma hash (e persino salted). Tuttavia, questo non fa molta differenza se la password è composta solo da una singola lettera “b”. Tale password può essere sottoposta a forza bruta in circa tre secondi.

In particolare, gli sviluppatori di Sitecore sconsigliano di modificare gli account predefiniti e avvertono che “la modifica di un account utente predefinito può influire su altre aree del modello di protezione” (qualunque cosa significhi). È quindi improbabile che gli amministratori del sito seguendo le istruzioni ufficiali modifichino queste password. Di conseguenza, tali account predefiniti sono probabilmente presenti nella maggior parte dei siti Web che utilizzano questo CMS.

Detto questo, all’utente sitecore\ServicesAPI non sono assegnati diritti o ruoli, quindi non è possibile eseguire semplicemente l’autenticazione tramite l’interfaccia di accesso standard di Sitecore Authenticator. Tuttavia, i ricercatori hanno trovato un modo per aggirare il controllo del database richiesto per una corretta autenticazione (per i dettagli, consulta la ricerca originale). In seguito a questa operazione, l’utente malintenzionato ottiene un cookie di sessione valido. Non ha ancora i diritti di amministratore, ma questo cookie può essere utilizzato per ulteriori attacchi.

CVE-2025-34510: vulnerabilità nell’utilità di caricamento dei file di Sitecore

Sitecore dispone di un meccanismo di caricamento dei file che può essere utilizzato da qualsiasi utente autenticato. Pertanto, disponendo di un cookie di sessione valido, un utente malintenzionato può creare una richiesta HTTP per caricare ed estrarre automaticamente un archivio ZIP. L’essenza di CVE-2025-34510 è che, a causa di una sanificazione dell’input errata, un utente malintenzionato autenticato può eseguire un path traversal. Ulteriori informazioni su questo tipo di vulnerabilità, nota come Zip Slip, sono disponibili nel nostro post sull’elaborazione dei file ZIP. In sostanza, l’utente malintenzionato può estrarre l’archivio in qualsiasi posizione, ad esempio nella cartella radice del sito Web. In questo modo, l’utente malintenzionato può caricare qualsiasi cosa, ad esempio la propria shell Web.

CVE-2025-34511: vulnerabilità nell’utilità di caricamento dei file del modulo Estensioni PowerShell di Sitecore

CVE-2025-34511 è un modo alternativo per compromettere Sitecore. Questa vulnerabilità è presente nel modulo Estensioni di PowerShell di Sitecore, necessario per il funzionamento di diverse estensioni di Sitecore, ad esempio Sitecore Experience Accelerator, una delle estensioni più utilizzate per questo CMS.

In sostanza, questa vulnerabilità funziona più o meno allo stesso modo di CVE-2025-34510, solo leggermente più semplice. L’estensione Sitecore PowerShell dispone inoltre di un proprio meccanismo di caricamento dei file, che può essere sfruttato da un utente autenticato. Tramite le richieste HTTP, un utente malintenzionato può caricare qualsiasi file con qualsiasi estensione nel CMS e salvarlo in qualsiasi directory del sito Web. Questo significa che non è necessario preparare un percorso e un archivio ZIP personalizzati e il risultato è sostanzialmente lo stesso: il caricamento di una shell Web.

Come proteggersi dagli attacchi alla Sitecore Experience Platform

Le patch per queste tre vulnerabilità sono state rilasciate a maggio 2025. Se l’azienda utilizza Sitecore, soprattutto in combinazione con le estensioni PowerShell di Sitecore, è consigliabile aggiornare il CMS il prima possibile. In base alle descrizioni del NIST, CVE-2025-34509 interessa Sitecore Experience Manager e Experience Platform versioni da 10.1 a 10.1.4 rev. 011974 PRE; tutte le varianti della 10.2; da 10.3 a 10.3.3 rev. 011967 PRE; e da 10.4 a 10.4.1 riv. 011941 PRE. CVE-2025-34510 è presente in Experience Manager, Experience Platform ed Experience Commerce versioni da 9.0 a 9.3 e da 10.0 a 10.4. CVE-2025-34511, infine, interessa tutte le versioni delle estensioni di PowerShell di Sitecore fino alla versione 7.0.

I ricercatori che hanno scoperto questi difetti affermano di essere a conoscenza di altre quattro vulnerabilità molto più interessanti. Tuttavia, poiché le patch non sono ancora pronte, hanno dichiarato che riveleranno queste vulnerabilità in un secondo momento. Pertanto, è consigliabile tenere d’occhio i prossimi aggiornamenti da parte degli sviluppatori Sitecore.

Consigli
Iscriviti per ricevere le nostre notizie via e-mail
  • Tutti gli altri paesi