Uma sequência de vulnerabilidades na Sitecore Experience Platform (XP) permite que invasores realizem execução remota de código (RCE) sem autenticação para invadir e sequestrar servidores.
Sitecore é um CMS empresarial popular usado por empresas para criar e gerenciar conteúdo em websites e mídias digitais.
Descoberta pelos pesquisadores da watchTowr, a cadeia de RCE pré-autenticação divulgada hoje consiste em três vulnerabilidades distintas.
Ela depende da presença de um usuário interno (sitecore\ServicesAPI) com uma senha hardcoded definida como "b", tornando trivial o sequestro.
Este usuário interno não é um administrador e não possui funções atribuídas.
No entanto, os pesquisadores ainda conseguiram usá-lo para se autenticar por um caminho de login alternativo (/sitecore/admin) devido à verificação de login apenas no backend do Sitecore ser contornada em contextos de banco de dados não principais.
O resultado é uma sessão ".AspNet.Cookies" válida, concedendo ao invasor acesso autenticado a endpoints internos protegidos por autorização a nível de IIS, mas não por verificações de função do Sitecore.
Com este primeiro acesso garantido, os invasores podem explorar a segunda vulnerabilidade, um defeito de Zip Slip no Assistente de Upload do Sitecore.
Como a watchTowr explica, um arquivo ZIP enviado pelo assistente pode conter um caminho de arquivo malicioso como /\/../webshell.aspx.
Devido à sanitização de caminho insuficiente e à forma como o Sitecore mapeia os caminhos, isso resulta na gravação de arquivos arbitrários no diretório web, mesmo sem conhecimento do caminho completo do sistema.
Isso permite que o invasor carregue um webshell e execute código remoto.
Uma terceira vulnerabilidade se torna explorável quando o módulo Sitecore PowerShell Extensions (SPE) está instalado (comumente agrupado com o SXA).
Essa falha permite que um invasor carregue arquivos arbitrários para caminhos especificados pelo atacante, contornando completamente as restrições de extensão ou localização e fornecendo uma rota mais simples para um RCE confiável.
As três vulnerabilidades relatadas pela watchTowr afetam as versões do Sitecore XP 10.1 até 10.4.
As varreduras da watchTowr mostram mais de 22.000 instâncias do Sitecore expostas publicamente, destacando uma superfície de ataque significativa, embora nem todas sejam necessariamente vulneráveis.
Patches abordando os problemas foram disponibilizados em maio de 2025, mas os IDs CVE e detalhes técnicos foram embargados até 17 de junho de 2025, para dar tempo aos clientes para atualizar.
"O Sitecore é implantado em milhares de ambientes, incluindo bancos, companhias aéreas e empresas globais — então o raio de impacto aqui é imenso", comentou o CEO da watchTowr, Benjamin Harris, ao site BleepingComputer.
"E não, isso não é teórico: executamos a cadeia completa, de ponta a ponta. Se você está utilizando o Sitecore, não fica pior do que isso – troque as senhas e aplique o patch imediatamente antes que os invasores inevitavelmente reengenhem a solução."
Até o momento da redação, não há evidência pública de exploração ativa.
No entanto, o blog técnico da watchTowr contém detalhes suficientes para construir um exploit totalmente funcional, portanto, o risco de abuso no mundo real é iminente.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...