CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2025-53690

Krótki tytuł podatności po polsku (max 80 znaków)

CVSS 9.0v3.1pub. 2025-09-03upd. 2025-10-30

Krytyczna podatność deserializacji niezaufanych danych w Sitecore Experience Manager (XM) i Sitecore Experience Platform (XP) umożliwia atakującemu zdalne wykonanie kodu (Code Injection). Podatność jest aktywnie wykorzystywana w środowiskach produkcyjnych i figuruje w katalogu CISA KEV.

Pokaż oryginał (EN)

Deserialization of Untrusted Data vulnerability in Sitecore Experience Manager (XM), Sitecore Experience Platform (XP) allows Code Injection.This issue affects Experience Manager (XM): through 9.0; Experience Platform (XP): through 9.0.

🤖 Analiza AI
Jak działa

Podatność (CWE-502) wynika z nieprawidłowej deserializacji danych wejściowych dostarczanych przez użytkownika. Atakujący może przesłać specjalnie spreparowany payload, który podczas procesu deserializacji zostaje wykonany jako kod po stronie serwera. Wektor ataku sieciowy bez wymagań uwierzytelnienia (PR:N, UI:N) oznacza, że exploit można przeprowadzić zdalnie bez żadnej interakcji ofiary. Referencja Google Cloud Threat Intelligence wskazuje na powiązanie z mechaniźmem ViewState deserializacji jako wektorem ataku.

Skutki

Skuteczny atak prowadzi do pełnego przejęcia kontroli nad systemem — atakujący może wykonać dowolny kod na serwerze, uzyskać dostęp do poufnych danych, modyfikować zawartość aplikacji oraz potencjalnie przeprowadzić lateral movement w sieci wewnętrznej (zakres wpływu S:C, pełna poufność, integralność i dostępność: C:H/I:H/A:H).

Mitygacja

Należy niezwłocznie zastosować patche dostępne u producenta zgodnie z artykułem KB1003865 w bazie wsparcia Sitecore (https://support.sitecore.com/kb?id=kb_article_view&sysparm_article=KB1003865). Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu do instancji Sitecore na poziomie firewall oraz monitorowanie ruchu pod kątem nieoczekiwanych żądań deserializacji.

Kogo dotyczy

Sitecore Experience Manager (XM) w wersjach do 9.0 włącznie oraz Sitecore Experience Platform (XP) w wersjach do 9.0 włącznie. Dotyczy również środowisk Sitecore Managed Cloud oraz Sitecore Experience Commerce korzystających z tych komponentów.

Uwagi

Podatność powiązana jest z mechaniźmem ViewState deserializacji — szczegóły techniczne opisane w analizie Google Cloud Threat Intelligence: https://cloud.google.com/blog/topics/threat-intelligence/viewstate-deserialization-zero-day-vulnerability. Podatność sklasyfikowana jako zero-day w momencie odkrycia i aktywnie eksploitowana przed wydaniem łatki.

CVSS Vector
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Sitecore Experience Commerce

    APP
    Sitecore
    ≤ 9.0
  • Sitecore Experience Manager

    APP
    Sitecore
    ≤ 9.0
  • Sitecore Experience Platform

    APP
    Sitecore
    ≤ 9.0
  • Sitecore Managed Cloud

    APP
    Sitecore
    wszystkie wersje

CISA KEV — szczegółyi

Dostawcai
Sitecore
Produkti
Multiple Products
Data dodania do KEVi
4 września 2025
Termin remediation (USA)i
25 września 2025(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami dostawcy, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Sitecore Experience Manager (XM), Experience Platform (XP), Experience Commerce (XC) i Managed Cloud zawierają lukę deserializacji niezaufanych danych związaną z użyciem domyślnych kluczy maszyny. Ta usterka pozwala atakującym na exploitowanie ujawnionych kluczy maszyny ASP.NET w celu osiągnięcia RCE.

tłumaczenie AI
Pokaż oryginał (EN)

Sitecore Experience Manager (XM), Experience Platform (XP), Experience Commerce (XC), and Managed Cloud contain a deserialization of untrusted data vulnerability involving the use of default machine keys. This flaw allows attackers to exploit exposed ASP.NET machine keys to achieve remote code execution.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 25 września 2025
Tagi
Deserialization
CWE
Referencje

Powiązane podatności

CVE-2021-42237CRITICAL9.8⚠ KEVten sam produkt

Sitecore XP 7.5 Initial Release to Sitecore XP 8.2 Update-7 is vulnerable to an insecure deserialization attac...

CVE-2019-9874CRITICAL9.8⚠ KEVten sam produkt

Deserialization of Untrusted Data in the Sitecore.Security.AntiCSRF (aka anti CSRF) module in Sitecore CMS 7.0...

CVE-2025-53693CRITICAL9.8PL ✓ten sam produkt

Unsafe Reflection umożliwiający Cache Poisoning w Sitecore XM/XP

CVE-2023-35813CRITICAL9.8ten sam produkt

Multiple Sitecore products allow remote code execution. This affects Experience Manager, Experience Platform, ...

CVE-2023-27068CRITICAL9.8ten sam produkt

Deserialization of Untrusted Data in Sitecore Experience Platform through 10.2 allows remote attackers to run ...

CVE-2025-53690 — Krótki tytuł podatności po polsku (max 80 znaków) — CRITICAL 9.0 | CVEbaza.pl