コンテンツにスキップするには Enter キーを押してください

Sitecore XPにおけるハードコードされた「b」パスワードが企業導入における重大なRCEリスクを引き起こす

投稿日 2025年6月17日

Image

サイバーセキュリティ研究者たちは、人気のあるSitecore Experience Platform(XP)において、事前認証なしでリモートコード実行を達成するために連鎖できる3つのセキュリティ欠陥を公開しました。

Sitecore Experience Platformは、コンテンツ管理、デジタルマーケティング、分析およびレポートのためのツールをユーザーに提供する企業向けソフトウェアです。

CVE識別子がまだ割り当てられていない脆弱性のリストは以下の通りです –

  • ハードコードされた認証情報の使用
  • パストラバーサルを介した認証後のリモートコード実行
  • Sitecore PowerShell Extensionを介した認証後のリモートコード実行

watchTowr Labsの研究者Piotr Bazydloは、デフォルトのユーザーアカウント「sitecore\ServicesAPI」が、ハードコードされた単一文字のパスワード「b」を持っていると述べました。

ユーザーにはSitecoreで役割や権限は割り当てられていませんが、攻撃面管理会社は、この認証情報が「/sitecore/admin」APIエンドポイントに対して「sitecore\ServicesAPI」としてサインインし、ユーザーの有効なセッションクッキーを取得するために代わりに使用できることを発見しました。

「ServicesAPIには役割が割り当てられていないため、『Sitecore Applications』(機能の大部分が定義されている場所)にアクセスすることはできませんが、それでも次のことが可能です:(1) 多数のAPIにアクセスする、(2) IISの認証ルールを通過し、一部のエンドポイントに直接アクセスする」とBazydloは説明しました。

これにより、特別に作成されたZIPファイルを「/sitecore/shell/Applications/Dialogs/Upload/Upload2.aspx」エンドポイントを介してアップロードし、アーカイブの内容(例:ウェブシェル)をウェブルートディレクトリに書き込むことが可能なzip slip脆弱性を通じてリモートコード実行が可能になります。

一連のアクションは以下の通りです –

  • 「sitecore\ServicesAPI」ユーザーとして認証する
  • Upload2.aspxにアクセスする
  • /\/../<web_shell>と呼ばれるウェブシェルを含むZIPファイルをアップロードする
  • プロンプトが表示されたら、解凍オプションを選択し、アップロードを完了する
  • ウェブシェルにアクセスする

3つ目の脆弱性は、PowerShell Extensionsにおける無制限のファイルアップロードの欠陥に関係しており、これも「sitecore\ServicesAPI」ユーザーとして「/sitecore%20modules/Shell/PowerShell/UploadFile/PowerShellUploadFile2.aspx」エンドポイントを通じてリモートコード実行を達成するために悪用される可能性があります。

watchTowrは、ハードコードされたパスワードが、ServicesAPIのパスワードが「b」に設定された事前構成済みのユーザーデータベースをインポートするSitecoreインストーラー内から発生していると指摘しました。この変更は、バージョン10.1から有効になったと同社は述べています。

これはまた、ユーザーがバージョン10.1以上のインストーラーを使用してSitecoreをインストールした場合にのみ、エクスプロイトチェーンが機能することを意味します。以前にバージョン10.1より前のバージョンを実行していて、古いデータベースが移行され、インストールパッケージ内のデータベースではないと仮定した場合、ユーザーは影響を受けない可能性があります。

以前に公開されたSitecore XPの欠陥が野外での積極的な悪用の対象となっている中(CVE-2019-9874およびCVE-2019-9875)、ユーザーがまだであれば、潜在的なサイバー脅威から保護するために最新のパッチを適用することが重要です。

「デフォルトでは、最近のSitecoreのバージョンには、ハードコードされたパスワード「b」を持つユーザーが含まれていました。2025年になってもまだこれを言わなければならないとは信じられませんが、それは非常に悪いことです」とwatchTowrのCEO兼創設者であるBenjamin HarrisはThe Hacker Newsに声明で述べました。

「Sitecoreは、銀行、航空会社、グローバル企業を含む数千の環境に展開されています。したがって、ここでの影響範囲は非常に大きいです。そして、これは理論的なものではありません:私たちはこのチェーン全体を実行しました。Sitecoreを実行している場合、これ以上悪化することはありません。クレデンシャルをすぐに変更し、攻撃者が修正を逆エンジニアリングする前にパッチを適用してください。」

翻訳元: https://thehackernews.com/2025/06/hard-coded-b-password-in-sitecore-xp.html

Published in thehackernews.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です