Входной порог — один символ. Выход — полный контроль над инфраструктурой тысяч компаний

Уязвимость, обнаруженная в одной из самых популярных CMS-платформ корпоративного уровня Sitecore Experience Platform (XP), ставит под угрозу десятки тысяч компаний по всему миру. Цепочка из трёх критических брешей, выявленная специалистами из watchTowr, позволяет атакующим выполнять удалённый код без какой-либо авторизации — достаточно воспользоваться уязвимостями, присутствующими в версиях Sitecore XP с 10.1 по 10.4.

Первоначальной точкой входа служит встроённый технический пользователь sitecore\ServicesAPI, у которого установлен жёстко заданный пароль — всего одна буква «b». Хотя учётная запись не обладает никакими ролями или правами администратора, она даёт возможность войти в систему благодаря обходу внутренних проверок Sitecore. Дело в том, что при аутентификации через путь /sitecore/admin, Sitecore полагается на логику IIS и не проводит полноценную проверку прав в контексте нестандартной базы данных. В результате злоумышленник может получить валидный cookie-файл .AspNet.Cookies, а вместе с ним и доступ ко множеству внутренних API и интерфейсов, защищённых только средствами веб-сервера.

На этом этапе атака лишь начинается. Вторая уязвимость — так называемая «Zip Slip» — находится в мастере загрузки файлов Upload Wizard. Она позволяет атакующему загрузить ZIP-архив с вложенным файлом, путь к которому сформирован с помощью относительных ссылок (например, ../webshell.aspx). Из-за отсутствия должной фильтрации и из-за специфики того, как Sitecore обрабатывает файловые пути, вредоносный файл оказывается в корневой директории веб-приложения. Это даёт возможность разместить веб-шелл на сервере, получив полный контроль над его поведением. Особенно опасно то, что атакующему не нужно знать точное расположение корня системы — Sitecore автоматически подставляет нужные значения.

Третья брешь связана с установленным на сервере модулем Sitecore PowerShell Extensions (SPE), который часто идёт в комплекте с Sitecore Experience Accelerator (SXA). Эта уязвимость позволяет загружать произвольные файлы в любое место файловой системы, полностью обходя проверки на допустимые расширения или директории. Таким образом, SPE даёт ещё более прямолинейный и надёжный способ достигнуть цели — запуска удалённого кода.

Все три уязвимости складываются в мощную цепочку атаки, при которой злоумышленник может, не зная ни логинов, ни паролей, ни структуры системы, захватить контроль над сервером. Исследователи из watchTowr подтверждают, что провели успешную эксплуатацию всей цепочки от начала до конца в тестовой среде.

Хотя Sitecore выпустила обновления и исправления ещё в мае 2025 года, технические детали и идентификаторы CVE были скрыты до 17 июня. Это сделано для того, чтобы компании успели установить обновления до того, как подробности попадут в руки злоумышленников. Тем не менее, теперь, когда embargo снято, в техническом блоге watchTowr уже опубликованы достаточно подробные сведения, позволяющие создать полноценный эксплойт — и это значительно повышает риск скорой массовой эксплуатации уязвимостей в реальных условиях.

В интернете доступно более 22 000 экземпляров Sitecore, и даже если только часть из них действительно уязвима, потенциальный ущерб может быть колоссальным. Sitecore активно используется банками, авиакомпаниями, государственными учреждениями и транснациональными корпорациями, а это значит, что масштаб возможного заражения выходит далеко за пределы одной платформы.

Специалисты порекомендовали менять пароли и устанавливать обновления немедленно. На данный момент нет публичных подтверждений о фактическом использовании данной цепочки в атаках. Однако теперь, когда все детали опубликованы, вопрос лишь в том, сколько времени потребуется злоумышленникам на запуск атаки — скорее всего, не больше нескольких дней.