A Agência de Cibersegurança e Segurança de Infraestrutura dos EUA (CISA) adicionou duas falhas de segurança com seis anos de idade, que afetam o Sitecore CMS e a Experience Platform (XP), ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), com base em evidências de exploração ativa.
As vulnerabilidades listadas são:
-
CVE-2019-9874
(pontuação CVSS: 9.8) - Uma vulnerabilidade de deserialização no módulo Sitecore.Security.AntiCSRF que permite a um atacante não autenticado executar código arbitrário enviando um objeto .NET serializado no parâmetro HTTP POST __CSRFTOKEN
-
CVE-2019-9875
(pontuação CVSS: 8.8) - Uma vulnerabilidade de deserialização no módulo Sitecore.Security.AntiCSRF que permite a um atacante autenticado executar código arbitrário enviando um objeto .NET serializado no parâmetro HTTP POST __CSRFTOKEN
Atualmente, não há detalhes sobre como as falhas estão sendo armadas e por quem, embora a SiteCore, em uma atualização compartilhada em 30 de março de 2020, disse ter se "conscientizado da exploração ativa" do
CVE-2019-9874
.
A empresa não menciona a exploração do
CVE-2019-9875
.
Diante da exploração ativa, as agências federais são obrigadas a aplicar os patches necessários até 16 de abril de 2025, para proteger suas redes.
Esse desenvolvimento ocorre enquanto a Akamai disse ter observado tentativas iniciais de exploração sondando servidores potenciais para uma nova falha de segurança divulgada que impacta o framework web Next.js (CVE‑2025‑29927, pontuação CVSS: 9.1).
Uma vulnerabilidade de bypass de autorização, uma exploração bem-sucedida poderia permitir que um invasor contornasse controles de segurança baseados em middleware, falsificando um cabeçalho chamado "x-middleware-subrequest", que é usado para gerenciar fluxos de solicitações internas.
Isso, por sua vez, poderia permitir acesso não autorizado a recursos sensíveis da aplicação, disse Raphael Silva da Checkmarx.
"Dentre os payloads identificados, uma técnica notável envolve o uso do cabeçalho x-middleware-request com o valor src/middleware:src/middleware:src/middleware:src/middleware:src/middleware", disse a empresa de infraestrutura web.
Esta abordagem simula múltiplas sub-requests internas em uma única solicitação, acionando a lógica interna de redirecionamento do Next.js — assemelhando-se de perto a vários exploits de prova de conceito disponíveis publicamente.
As divulgações também seguem um alerta da GreyNoise sobre tentativas de exploração ativa registradas contra várias vulnerabilidades conhecidas em dispositivos DrayTek.
A firma de inteligência de ameaças disse que observou atividade in-the-wild contra os identificadores CVE abaixo:
-
CVE-2020-8515
(pontuação CVSS: 9.8) — Uma vulnerabilidade de injeção de comando no sistema operacional em vários modelos de roteadores DrayTek que poderia permitir a execução remota de código como root via metacaracteres shell para o URI cgi-bin/mainfunction.cgi
-
CVE-2021-20123
(pontuação CVSS: 7.5) — Uma vulnerabilidade de inclusão de arquivo local no DrayTek VigorConnect que poderia permitir a um atacante não autenticado baixar arquivos arbitrários do sistema operacional subjacente com privilégios de root através do endpoint DownloadFileServlet
-
CVE-2021-20124
(pontuação CVSS: 7.5) — Uma vulnerabilidade de inclusão de arquivo local no DrayTek VigorConnect que poderia permitir a um atacante não autenticado baixar arquivos arbitrários do sistema operacional subjacente com privilégios de root através do endpoint WebServlet
Indonésia, Hong Kong e Estados Unidos emergiram como os principais países de destino do tráfego de ataque para o
CVE-2020-8515
, enquanto Lituânia, Estados Unidos e Singapura foram destacados como parte dos ataques explorando o
CVE-2021-20123
e
CVE-2021-20124
.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...