CSIRT Toscana Sitecore: rilevato sfruttamento di vulnerabilità zero-day (AL03/250904/CSIRT-ITA)
Data:
8 Settembre 2025
Impatto Sistemico
Alto (70.25)
Sintesi
Rilevato lo sfruttamento attivo di una vulnerabilità zero-day, con gravità “critica”, presente in alcuni prodotti Sitecore. Tale vulnerabilità consentirebbe a un attaccante remoto non autenticato di eseguire codice arbitrario sulle istanze interessate.
Tipologia
Remote Code Execution
Descrizione e potenziali impatti
È stato recentemente rilevato lo sfruttamento di una vulnerabilità “critica” che interessa alcuni prodotti Sitecore e impatta le istanze che espongono su internet pagine web ASP.NET e che utilizzano ancora le machine key di esempio, rese pubbliche nelle guide di deployment di Sitecore fino al 2017.
La vulnerabilità, identificata come CVE-2025-53690 e con score CVSS v3.1 pari a 9.0 , di tipo “Remote Code Execution”, è causata da una deserializzazione di dati non attendibili all’interno del framework ASP.NET.
In particolare, l’attacco, che non richiede autenticazione, viene condotto tramite richieste HTTP di tipo POST opportunamente predisposte verso una pagina contenente un campo nascosto chiamato __VIEWSTATE , utilizzato per mantenere lo stato della pagina tra le varie richieste HTTP mediante la serializzazione di oggetti .NET. Qualora tali dati non siano adeguatamente firmati o validati, un attaccante può sottomettere un payload malevolo che, una volta deserializzato dal server, consente l’esecuzione di codice arbitrario sul sistema interessato.
Prodotti e/o versioni affette
Sitecore
- Experience Manager (XM)
- Experience Platform (XP)
- Experience Commerce (XC)
- Managed Cloud
N.B. Si evidenzia che i prodotti elencati risultano vulnerabili solo in specifiche circostanze indicate nel relativo bollettino di sicurezza.
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di applicare le azioni di mitigazioni seguendo le indicazioni del bollettino di sicurezza disponibile al link nella sezione Riferimenti. Inoltre, si raccomanda di valutare la verifica e l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC) forniti da Mandiant .
Riferimenti
- https://support.sitecore.com/kb?id=kb_article_view&sysparm_article=KB1003865
- https://cloud.google.com/blog/topics/threat-intelligence/viewstate-deserialization-zero-day-vulnerability/
CVE
| CVE-ID |
|---|
| CVE-2025-53690 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 04-09-2025 | 04/09/2025 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
8 Settembre 2025, 18:30