Дослідники з watchTowr Labs виявили три нові уразливості в платформі Sitecore Experience, які можуть бути використані для витоку інформації та віддаленого виконання коду (RCE).

Йдеться про: CVE-2025-53693 – отруєння HTML-кешу через небезпечні рефлексії; CVE-2025-53691 – RCE через небезпечну десеріалізацію; CVE-2025-53694 – витік інформації через API ItemService для обмеженого анонімного користувача, що дозволяє викрити ключі кешу методом грубої сили.

Sitecore випустила патчі для перших двох вразливостей у червні 2025 року, а для третьої – у липні 2025 року. Компанія зазначила, що успішна експлуатація може призвести до RCE та несанкціонованого доступу до даних. Ці знахідки доповнюють три раніше виявлені вразливості в тому ж продукті, описані watchTowr у червні: CVE-2025-34509 (оцінка CVSS: 8.2) – використання жорстко закодованих облікових даних; CVE-2025-34510 (CVSS: 8.8) – RCE після авторизації через обходження шляху; CVE-2025-34511 (CVSS: 8.8) – RCE після авторизації через розширення Sitecore PowerShell.

Дослідник Пйотр Базидло пояснив, що нові уразливості можна поєднати в ланцюг експлойтів: спочатку використати вразливість до авторизації для отруєння HTML-кешу, а потім, за допомогою CVE-2025-53691, виконати код через необмежений виклик BinaryFormatter. Зловмисник може перерахувати ключі кешу через API ItemService, якщо воно відкрите, і надіслати шкідливі запити для отруєння кешу, що призведе до виконання довільного JavaScript і, зрештою, RCE. Це серйозна загроза для користувачів Sitecore, і важливо негайно оновити систему. Дізнавайтеся більше, слідкуючи за новинами кібербезпеки!