Se han revelado tres nuevas vulnerabilidades de seguridad en la plataforma de experiencia Sitecore que podrían explotarse para conquistar la divulgación de información y la ejecución de código remoto.
Los defectos, según WatchToWr Labs, se enumeran a continuación –
- CVE-2025-53693 – HTML Cache Envenenamiento a través de reflexiones inseguras
- CVE-2025-53691 – Ejecución de código remoto (RCE) a través de la deserialización insegura
- CVE-2025-53694 – Divulgación de información en la API del servicio de nociones con un legatario incógnito restringido, lo que lleva a la exposición de las claves de personalidad utilizando un enfoque de fuerza bruta
Sitecore publicó parches para los dos primeros deficiencias en junio y para el tercero de julio de 2025, y la compañía afirma que “la explotación exitosa de las vulnerabilidades relacionadas podría conducir a la ejecución de código remoto y el paso no calificado a la información”.
Los hallazgos se basan en tres defectos más en el mismo producto que WatchToWr detalló en junio –
- CVE-2025-34509 (Puntuación CVSS: 8.2) – Uso de credenciales codificadas
- CVE-2025-34510 (Puntuación CVSS: 8.8) – Ejecución de código remoto post -autenticado a través de Path Traversal
- CVE-2025-34511 (Puntuación de CVSS: 8.8) – Ejecución de código remoto post -autenticado a través de Sitecore PowerShell Extension
El investigador de WatchToWr Labs, Piotr Bazydlo, dijo que los insectos recién descubiertos podrían diseñarse en una dependencia de exploit al reunir la vulnerabilidad de envenenamiento de personalidad previo a la autorrena con un problema de ejecución de código remoto post-autenticado para comprometer una instancia de plataforma de experiencia Sitecore totalmente parchada.
Toda la secuencia de eventos que conducen a la ejecución del código es la sucesivo: un actor de amenaza podría explotar la API del servicio de nociones, si se expone, para enumerar trivialmente las claves de personalidad HTML almacenadas en el personalidad Sitecore y remitir solicitudes de envenenamiento de personalidad HTTP a esas claves.
Esto podría estar encadenado con CVE-2025-53691 para proporcionar un código HTML astuto que finalmente resulta en la ejecución del código mediante una indicación de información binaria sin restricciones.
“Nos las arreglamos para pasarse de una ruta de consejo muy restringida para designar a un método que nos permite envenenar cualquier esencia de personalidad HTML”, dijo Bazydlo. “Ese único primitivo abrió la puerta para secuestrar páginas de plataforma de experiencia Sitecore, y desde allí, dejando caer JavaScript arbitraria para activar una vulnerabilidad posterior a la Auth RCE”.
