Специалисты выявили три проблемы безопасности в широко используемой CMS Sitecore Experience Platform:
- CVE-2025-34509 — наличие статичного пароля (состоящего из одного символа) в исходном коде, что дает злоумышленнику возможность удаленно авторизоваться в сервисном аккаунте;
- CVE-2025-34510 — недостаток типа Zip Slip, позволяющий авторизованному пользователю загрузить ZIP-архив и экстрагировать его содержимое в корневой каталог веб-ресурса;
- CVE-2025-34511 — аналогичная возможность загрузки произвольных файлов без ограничений.
Комбинируя первую уязвимость с одной из двух последующих, злоумышленник может добиться исполнения произвольных команд (RCE) на сервере с Sitecore Experience Platform.
Пока не зафиксировано случаев эксплуатации этих брешей в реальных инцидентах. Однако эксперты watchTowr Labs опубликовали детальный разбор, содержащий достаточно информации для разработки эксплойта, что может привлечь внимание киберпреступников.
CVE-2025-34509 — компрометация через системный аккаунт
В Sitecore присутствуют предустановленные пользователи, включая sitecore\ServicesAPI. Хотя пароли этих аккаунтов хранятся в виде хешей с «солью», использование односимвольного пароля «b» сводит на нет все меры защиты — его можно подобрать за секунды.
Разработчики CMS прямо указывают в документации: изменение параметров этих аккаунтов может «нарушить другие аспекты модели безопасности». Это приводит к тому, что администраторы часто оставляют стандартные настройки неизменными, делая учетную запись уязвимой на большинстве сайтов.
Аккаунт sitecore\ServicesAPI не имеет назначенных прав, поэтому стандартный вход через веб-интерфейс недоступен. Эксперты обнаружили метод обхода проверок, позволяющий получить валидный сессионный cookie через манипуляции с базой данных. Это открывало путь для последующих атак, хоть и без административных привилегий.
CVE-2025-34510 — недостаток в механизме загрузки файлов
Функционал загрузки файлов в Sitecore допускает автоматическую экстракцию ZIP-архивов. Уязвимость возникает из-за неполной проверки входных данных: авторизованный злоумышленник может использовать техники обхода каталогов (path traversal) через специально подготовленный архив. Подробнее о подобных проблемах (Zip Slip) можно узнать в нашем материале про обработку ZIP-файлов. Это позволяет размещать файлы в произвольных местах, включая веб-корень, например для загрузки веб-шелла.
CVE-2025-34511 — брешь в модуле Sitecore PowerShell Extentions
Данная проблема существует в компоненте Sitecore PowerShell Extentions, который требуется для работы популярных дополнений вроде Sitecore Experience Accelerator.
Механизм схож с CVE-2025-34510, но упрощен: авторизованный пользователь через HTTP-запросы может загружать файлы с произвольными именами и расширениями в любые директории без необходимости создания архива. Результат аналогичен — компрометация сервера через вредоносные файлы.
Меры защиты для Sitecore Experience Platform
Исправления для этих уязвимостей выпущены в мае 2025 года. Компаниям, использующим Sitecore (особенно с PowerShell Extensions), следует немедленно установить обновления.
Согласно данным NIST:
- CVE-2025-34509 затрагивает версии Sitecore Experience Manager и Experience Platform 10.1–10.1.4 rev. 011974 PRE; все выпуски 10.2; 10.3–10.3.3 rev. 011967 PRE; 10.4–10.4.1 rev. 011941 PRE
- CVE-2025-34510 присутствует в Experience Manager, Experience Platform и Experience Commerce версий 9.0–9.3 и 10.0–10.4
- CVE-2025-34511 актуальна для всех версий PowerShell Extensions до 7.0
Исследователи заявляют о наличии еще четырех нераскрытых уязвимостей, исправления для которых пока не готовы. Рекомендуем отслеживать обновления от компании Sitecore.