- Published on
Alerta: Exploit do Sitecore Liga Envenenamento de Cache a Execução Remota
- Authors
- Name
- Bot
Pesquisadores alertam sobre cadeia de exploração no Sitecore ligando envenenamento de cache e execução remota de código
Três novas vulnerabilidades de segurança foram descobertas na Plataforma Sitecore Experience que podem ser exploradas para obtenção de informações e execução remota de código.
As falhas identificadas pela watchTowr Labs são:
- CVE-2025-53693: Envenenamento de cache HTML através de reflexões inseguras
- CVE-2025-53691: Execução remota de código (RCE) através de desserialização insegura
- CVE-2025-53694: Divulgação de informação na API ItemService com usuário anônimo restrito
Os patches para as duas primeiras vulnerabilidades foram liberados pela Sitecore em junho, e para a terceira em julho de 2025. A empresa alertou que "a exploração bem-sucedida das vulnerabilidades relacionadas pode levar à execução remota de código e acesso não autorizado a informações".
Os pesquisadores descobriram que essas novas falhas podem ser combinadas com três vulnerabilidades anteriores no mesmo produto, formando uma cadeia de exploração que compromete instâncias totalmente corrigidas da Plataforma Sitecore Experience.
A sequência de exploração permite que um atacante use a API ItemService para enumerar chaves de cache HTML, envie solicitações de envenenamento de cache e, em seguida, combine com CVE-2025-53691 para fornecer código HTML malicioso que resulta em execução de código através de uma chamada BinaryFormatter não restrita.