研究人員在Sitecore CMS平台上發現三個安全漏洞,可以讓攻擊者在未經授權的情況下執行程式碼,它們分別是CVE-2025-34509、CVE-2025-34510和CVE-2025-34511,幸好暫時未發現有被利用的跡象。
CVE-2025-34509 – 通過預設帳號存取
Sitecore CMS包含了數個預設帳號,其中一個是sitecore\ServiceAPI,基本上所有帳號的密碼都經過散列(甚至加入特定字串,俗稱加鹽),以防止密碼被暴力破解,但是對原本密碼只有一個「b」字則沒有任何影響,因為只需要3秒就能夠破解到。值得注意的是,Sitecore的開發人員對更改預設帳號持反對意見,警告更改預設用戶帳號可能影響其他區域的保安模型,網站管理員遵循官方指示的話不太可能更改這些密碼,導致大部份使用Sitecore CMS的網站都存在這種預設帳號。
雖然這意味著sitecore\ServicesAPI用戶沒有指派權限和角色,所以無法單純透過模準Sitecore登入介面進行驗證,但研究人員找到方法繞過成功驗證所需的資料庫檢查,結果攻擊者能取得有效的session cookie,他們仍然沒有管理員權限,但這cookie能在將來的攻擊中使用。
CVE-2025-34510 – 檔安上載工具的安全漏洞
Sitecore有一個上載機制供所有授權用戶使用,所以持有一個有效的session cookie,攻擊者就能創建HTTP要求去上載和自動提取ZIP檔案,CVE-2025-34510由於清理輸入存在缺陷,經過驗證的攻擊者可以執行路徑遍歷,能夠把檔案提取到任何位置,例如網站的根資料夾,如此一來攻擊者就可以上傳任何內容,例如自己的Web Shell。
CVE-2025-34511 – PowerShell擴充模統的檔案上載工具漏洞
CVE-2025-34511是另一種入侵Sitecore的方法,這安全漏洞存在於Sitecore PowerShell Extensions模組,是多個Sitecore擴充功能所需的模組,例如最常用的擴充Sitecore Experience Accelerator。這安全漏洞的操作與CVE-2025-34510十分相似,只是較為簡單一點,Sitecore PowerShell擴充同樣具備自己的上載機制,也同樣能夠被已授權的用戶所使用,經由HTTP要求,攻擊者可以上載任何類型的檔案到CMS,並儲存在網站上任何位置,這意味著無需要準備一個客製的ZIP檔案和路徑,經果也能做到上載Web Shell。
避免Sitecore Experience Platform遭受攻擊
對於以上三個安全漏洞的補丁已經在今年5月推出,如果公司正在使用Sitecore,尤其安裝了Sitecore PowerShell Extensions的話,我們建議盡快對CMS更新,CVE-2025-34509影響Sitecore Experience Manager和Experience Platform的10.1至10.1.4 rev. 011941 PRE、所有版本的10.2、10.3至10.3.3 rev. 011967 PRE和10.4.1 rev 011941 PRE,CVE=2025-34510影響Experience Manager、Experience Platform和Experience Commerce的9.0至9.3和10.0至10.4,CVE-2025-34511則影響全Sitecore PowerShell Extensions直至7.0的全部版本。
資料來源:Kaspersky Blog
