CVE-2025-53690
Mis à jour :
Vulnérabilité ViewState : Risque de Code Exécution à Distance sur Sitecore
Une faille de sécurité, identifiée sous la référence CVE-2025-53690, affecte plusieurs produits Sitecore : Experience Manager (XM), Experience Platform (XP), Experience Commerce (XC) et Managed Cloud.
Cette vulnérabilité découle de l’utilisation d’une clé machine ASP.NET d’exemple, incluse dans d’anciens guides de déploiement Sitecore et parfois malencontreusement déployée en production. Les attaquants disposant de cette clé peuvent forger des charges utiles malveillantes (payloads) pour le champ __VIEWSTATE, contournant ainsi les validations de sécurité et permettant l’exécution de code à distance (RCE) sur le serveur ciblé.
Une fois le système compromis, les attaquants peuvent obtenir des privilèges sous le compte NETWORK SERVICE. Ils pourraient alors déployer des malwares comme WEEPSTEEL pour collecter des informations sur le système, le réseau et les utilisateurs.
Points clés :
- Type de vulnérabilité : Désérialisation ViewState.
- Produits affectés : Sitecore XM, XP, XC, Managed Cloud.
- Cause racine : Réutilisation d’une clé machine ASP.NET d’exemple obsolète.
- Impact : Exécution de code à distance (RCE).
- Conséquence initiale : Compromission sous le compte NETWORK SERVICE.
- Menace potentielle : Déploiement de malwares (ex: WEEPSTEEL) pour exfiltration de données.
Vulnérabilités identifiées :
- CVE-2025-53690 (ViewState deserialization vulnerability)
Recommandations :
- Vérifier et remplacer toute clé machine ASP.NET d’exemple réutilisée par une clé unique et sécurisée.
- Assurer que les configurations de sécurité pour ViewState sont correctement implémentées.
- Surveiller les systèmes pour détecter toute activité suspecte liée à l’exécution de code ou à l’apparition de malwares.