Los investigadores de seguridad de Google advirtieron el miércoles sobre una vulnerabilidad de día cero que descubrieron en la plataforma del sistema de gestión de contenido Sitecore en relación con un ataque de deserialización de Viewstate que interrumpieron con éxito.
El ataque implicó aprovechar la exposición ASP.NET claves para realizar la ejecución de código remoto, según una publicación de blog de la defensa de amenazas Mandiant de Google. Se había expuesto una clave de máquina de muestra en las guías de implementación de Sitecore desde 2017 y antes, Según el blog.
Los investigadores no proporcionaron ningún detalle sobre la organización dirigida al ataque.
La vulnerabilidad, rastreada como CVE-2025-53690está vinculado a la deserialización de datos no confiables en Sitecore Experience Manager y Sitecore Experience Platform.
Sitecore instó a los usuarios a actualizar inmediatamente sus cuentas a través de sus parches de seguridad y a tomar medidas adicionales para verificar sus entornos para obtener un compromiso potencial, Según un boletín liberado Martes por la compañía. El boletín se ha actualizado desde entonces.
La Agencia de Seguridad de Ciberseguridad e Infraestructura agregó el jueves el CVE a su Vulnerabilidades explotadas conocidas catalogar.
Configuración insegura
Los investigadores de Mandiant dijeron en su publicación de blog que, si bien no pudieron observar todo el ciclo de vida del ataque, el atacante demostró «comprensión profunda del producto comprometido».
El atacante detrás de la exploit estaba «usando una estática ASP.NET Clave de la máquina «que se publicó previamente en la documentación del producto para dirigirse a instancias expuestas de Sitecore, Caitlin Condon, vicepresidente de investigación de seguridad en Vulncheck, dijo Cybersecurity Dive.
«La vulnerabilidad del día cero surge tanto de la configuración insegura (es decir, el uso de la clave de la máquina estática) como de la exposición pública», dijo Condon, «y como hemos visto muchas veces antes, los actores de amenaza definitivamente leen documentación».
Nota del editor: actualizaciones con información adicional de CISA.
Fuente