2025年8月29日Ravie Lakshmanan脆弱性 / ウェブセキュリティ
Sitecore Experience Platformにおいて、新たに3件のセキュリティ脆弱性が公開されました。これらは情報漏洩やリモートコード実行を引き起こすために悪用される可能性があります。
watchTowr Labsによると、これらの脆弱性は以下の通りです –
- CVE-2025-53693 – 安全でないリフレクションによるHTMLキャッシュポイズニング
- CVE-2025-53691 – 安全でないデシリアライズによるリモートコード実行(RCE)
- CVE-2025-53694 – 制限付き匿名ユーザーによるItemService APIでの情報漏洩。ブルートフォース手法によりキャッシュキーが露出する可能性
最初の2つの脆弱性に対するパッチは6月に、3つ目については2025年7月にSitecoreからリリースされており、同社は「関連する脆弱性が悪用された場合、リモートコード実行や非認可の情報アクセスにつながる可能性がある」と述べています。
これらの調査結果は、同じ製品においてwatchTowrが6月に詳細を公開したさらに3つの脆弱性に基づいています –
- CVE-2025-34509(CVSSスコア: 8.2) – ハードコードされた認証情報の使用
- CVE-2025-34510(CVSSスコア: 8.8) – パストラバーサルによる認証後のリモートコード実行
- CVE-2025-34511(CVSSスコア: 8.8) – Sitecore PowerShell Extensionを利用した認証後のリモートコード実行
watchTowr Labsの研究者Piotr Bazydlo氏は、新たに発見されたバグが、認証前のHTMLキャッシュポイズニング脆弱性と認証後のリモートコード実行問題を組み合わせることで、完全にパッチが適用されたSitecore Experience Platformインスタンスを侵害するエクスプロイトチェーンを構築できると述べています。
コード実行に至るまでの一連の流れは以下の通りです。攻撃者は、ItemService APIが公開されている場合、Sitecoreキャッシュに保存されたHTMLキャッシュキーを簡単に列挙し、それらのキーに対してHTTPキャッシュポイズニングリクエストを送信することができます。
その後、CVE-2025-53691と組み合わせることで、最終的に制限のないBinaryFormatter呼び出しを利用し、悪意のあるHTMLコードを供給してコード実行を実現できます。
「非常に制限されたリフレクションパスを悪用し、任意のHTMLキャッシュキーをポイズニングできるメソッドを呼び出すことに成功しました」とBazydlo氏は述べています。「この単一のプリミティブにより、Sitecore Experience Platformのページを乗っ取り、そこから任意のJavaScriptを投入して認証後RCE脆弱性を誘発する道が開かれました。」
翻訳元: https://thehackernews.com/2025/08/researchers-warn-of-sitecore-exploit.html