Segurança de nível “B”: três vulnerabilidades no Sitecore CMS

Pesquisadores encontraram diversas vulnerabilidades na plataforma Sitecore CMS que possibilitam a execução remota de código (RCE) sem autenticação.

Pesquisadores descobriram três vulnerabilidades no popular sistema de gerenciamento de conteúdo, Sitecore Experience Platform.

  • A CVE-2025-34509 envolve uma senha embutida no código (de apenas uma letra) que permite a um invasor efetuar login remotamente como uma conta de serviço.
  • A CVE-2025-34510 é uma vulnerabilidade Zip Slip que permite que um usuário autenticado carregue e extraia um arquivo ZIP para o diretório raiz do site.
  • A CVE-2025-34511 também permite que os usuários carreguem arquivos externos para o site, mas desta vez sem quaisquer restrições.

Ao combinar a primeira vulnerabilidade com qualquer uma das duas últimas, o invasor pode fazer a execução remota de código (RCE) em um servidor que executa a Sitecore Experience Platform.

Atualmente, não há evidências de que essas vulnerabilidades sejam exploradas em sistemas reais; no entanto, a análise detalhada publicada pela empresa de segurança watchTowr contém informações suficientes para que os agentes de ameaças as tornem uma arma a qualquer momento.

CVE-2025-34509: acesso por meio de uma conta predefinida

O Sitecore CMS inclui várias contas padrão, uma das quais é sitecore\ServicesAPI. Naturalmente, as senhas de todas as contas são armazenadas em um formulário com hash (e até mesmo com salt). No entanto, isso não faz muita diferença se a senha for apenas a letra “b”. Uma senha desse tipo pode ser descoberta por força bruta em cerca de três segundos.

Notavelmente, desenvolvedores do Sitecore desaconselham a modificação de contas padrão, alertando que “editar uma conta de usuário padrão pode afetar outras áreas do modelo de segurança” (o que quer que isso signifique). Portanto, os administradores do site que seguem as instruções oficiais provavelmente não alterarão essas senhas. Como resultado, essas contas padrão, provavelmente, estão presentes na maioria dos sites que usam esse CMS.

Dito isso, o usuário sitecore\ServicesAPI não tem direitos ou funções atribuídos, portanto, simplesmente autenticar pela interface de login padrão do Sitecore não é possível. No entanto, os pesquisadores encontraram uma maneira de burlar a verificação do banco de dados necessária para uma autenticação bem-sucedida (para obter detalhes, consulte a pesquisa original). Como resultado, o invasor obtém um cookie de sessão válido. Os invasores ainda não têm direitos de administrador, mas esse cookie pode ser usado para outros ataques.

CVE-2025-34510: vulnerabilidade no carregador de arquivos do Sitecore

O Sitecore tem um mecanismo de upload de arquivos que qualquer usuário autenticado pode usar. Assim, tendo um cookie de sessão válido, um invasor pode criar uma solicitação HTTP para carregar e extrair automaticamente um arquivo ZIP. A essência da CVE-2025-34510 é que, devido a uma sanitização incorreta das entradas, um invasor autenticado pode realizar uma travessia de diretórios. Você pode ler mais sobre esse tipo de vulnerabilidade, conhecida como Zip Slip, em nossa publicação sobre processamento de arquivos ZIP. Em essência, o invasor pode extrair o arquivo comprimido em qualquer local, por exemplo, a pasta raiz do site. Dessa forma, o invasor pode carregar qualquer coisa, como seu próprio web shell.

CVE-2025-34511: vulnerabilidade no carregador de arquivos do módulo Sitecore PowerShell Extensions

A CVE-2025-34511 é uma forma alternativa de comprometer o Sitecore. Essa vulnerabilidade está presente no módulo Sitecore PowerShell Extensions, que é necessário para que várias extensões do Sitecore funcionem, por exemplo, o Sitecore Experience Accelerator, uma das extensões mais populares para esse CMS.

Essencialmente, essa vulnerabilidade funciona da mesma maneira que a CVE-2025-34510, apenas um pouco mais simples. A extensão Sitecore PowerShell também tem seu próprio mecanismo de upload de arquivo, que pode ser explorado por um usuário autenticado. Por meio de solicitações HTTP, um invasor pode carregar qualquer arquivo com qualquer extensão para o CMS e salvá-lo em qualquer diretório no site. Isso significa que não há necessidade de preparar um arquivo ZIP e um caminho personalizados, e o resultado é basicamente o mesmo: um upload de web shell.

Como se proteger contra ataques na Sitecore Experience Platform

Os patches para essas três vulnerabilidades foram lançados em maio de 2025. Se sua empresa usa o Sitecore, especialmente em combinação com as Sitecore PowerShell Extensions, recomendamos atualizar o CMS o mais rápido possível. De acordo com as descrições do NIST, a CVE-2025-34509 afeta o Sitecore Experience Manager e a Experience Platform versões 10.1 a 10.1.4 rev. 011974 PRE; todas as variantes de 10.2; 10.3 a 10.3.3 rev. 011967 PRE; e 10.4 a 10.4.1 rev. 011941 PRE. A CVE-2025-34510 está presente no Experience Manager, na Experience Platform e no Experience Commerce versões 9.0 a 9.3 e 10.0 a 10.4. Por fim, a CVE-2025-34511 afeta todas as versões do Sitecore PowerShell Extensions até a versão 7.0.

Os pesquisadores que descobriram essas falhas afirmam estar cientes de quatro outras vulnerabilidades muito mais interessantes. No entanto, como os patches ainda não estão prontos, eles disseram que divulgarão essas vulnerabilidades posteriormente. Dessa forma, recomendamos ficar de olho nas próximas atualizações dos desenvolvedores do Sitecore.

Dicas
Inscreva-se para receber nossos destaques em seu e-mail