Researchers Warn of Sitecore Exploit Chain Linking Cache Poisoning and Remote Code Execution

1 minute de lecture

Mis à jour : August 29, 2025

Nouvelle Chaîne d’Exploitation Détectée dans Sitecore Experience Platform

Trois nouvelles vulnérabilités ont été identifiées dans la plateforme Sitecore Experience Platform, ouvrant la voie à des fuites d’informations et à l’exécution de code à distance. Ces failles s’ajoutent à des vulnérabilités précédemment découvertes, permettant une chaîne d’exploitation combinant l’empoisonnement de cache HTML et l’exécution de code à distance.

Points Clés:

Une combinaison de vulnérabilités pré-authentification (empoisonnement de cache HTML) et post-authentification (exécution de code à distance) peut permettre de compromettre une instance Sitecore Experience Platform, même mise à jour.
L’exploitation débute par l’énumération des clés de cache HTML via une API, suivie de requêtes d’empoisonnement de cache.
Ceci permet d’injecter du code malveillant dans les pages Sitecore, déclenchant ensuite une vulnérabilité d’exécution de code à distance via un appel BinaryFormatter non restreint.

Vulnérabilités:

CVE-2025-53693: Empoisonnement de cache HTML via des réflexions non sécurisées (pré-authentification).
CVE-2025-53691: Exécution de code à distance (RCE) via désérialisation non sécurisée (post-authentification).
CVE-2025-53694: Divulgation d’informations dans l’API ItemService, permettant la découverte de clés de cache par brute-force.

Vulnérabilités antérieures notables:

CVE-2025-34509: Utilisation d’identifiants codés en dur (CVSS 8.2).
CVE-2025-34510: Exécution de code à distance post-authentification via traversée de chemin (CVSS 8.8).
CVE-2025-34511: Exécution de code à distance post-authentification via Sitecore PowerShell Extension (CVSS 8.8).

Recommandations:

Sitecore a publié des correctifs pour les deux premières vulnérabilités en juin 2025 et pour la troisième en juillet 2025. Il est fortement recommandé d’appliquer ces mises à jour pour atténuer les risques d’exécution de code à distance et d’accès non autorisé aux informations.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Researchers Warn of Sitecore Exploit Chain Linking Cache Poisoning and Remote Code Execution

Nouvelle Chaîne d’Exploitation Détectée dans Sitecore Experience Platform

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast