La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) ha ayudante dos defectos de seguridad de seis primaveras que afectan la plataforma Sitecore CMS y Experience (XP) a su catálogo de vulnerabilidades explotadas (KEV) conocidas, basadas en evidencia de explotación activa.
Las vulnerabilidades se enumeran a continuación –
- CVE-2019-9874 (Puntuación CVSS: 9.8): una vulnerabilidad de deserialización en el módulo Sitecore.security.anticsRF que permite a un atacante no autenticado ejecutar código abusivo enviando un objeto .NET serializado en el parámetro HTTP post
- CVE-2019-9875 (Puntuación CVSS: 8.8) – Una vulnerabilidad de deserialización en el módulo de Sitecore.security.anticsrf que permite a un atacante autenticado ejecutar un código abusivo enviando un objeto .NET serializado en el parámetro post
Actualmente no hay detalles sobre cómo los defectos se están armando en la naturaleza y por quién, aunque Sitecore, en una puesta al día compartida el 30 de marzo de 2020, dijo que se dio como «consciente de la explotación activa» de CVE-2019-9874. La compañía no menciona que CVE-2019-9875 se explota.
A la luz de la explotación activa, las agencias federales deben aplicar los parches necesarios ayer del 16 de abril de 2025 para estabilizar sus redes.
El exposición se produce cuando Akamai dijo que ha observado intentos de exploit iniciales de los servidores potenciales para una equivocación de seguridad recientemente revelada que impacta el sucesivo entorno web.JS (CVE -2025‑29927, puntaje CVSS: 9.1).
Una vulnerabilidad de autorización de autorización, una explotación exitosa podría permitir que un atacante sorte las verificaciones de seguridad basadas en el middleware al falsificar un encabezado llamado «X-Middleware-subrequest» que se utiliza para llevar la batuta los flujos de solicitudes internos. Esto, a su vez, podría permitir el llegada no acreditado a los capital de aplicación sensibles, dijo Raphael Silva de Checkmarx.
«Entre las cargas aperos identificadas, una técnica importante implica usar el encabezado X-Middleware-Request con el valencia SRC/Middleware: SRC/Middleware: SRC/Middleware: SRC/Middleware: SRC/Middleware», dijo la compañía de infraestructura web.
«Este enfoque simula múltiples subrequests internas en el interior de una sola solicitud, lo que desencadena la método de redireccionamiento interna de Next.JS, se asemeja mucho a varias exploits de prueba de concepto públicamente disponibles».
Las revelaciones asimismo siguen una advertencia de Greynoise sobre los intentos de explotación activa registrados contra varias vulnerabilidades conocidas en los dispositivos Draytek.
La firma de inteligencia de amenazas dijo que ha pasado una actividad en el bancarrojo observada contra los siguientes identificadores CVE-
- CVE-2020-8515 (Puntuación CVSS: 9.8): una vulnerabilidad de inyección de comando del sistema activo en múltiples modelos de enrutador Draytek que podrían permitir la ejecución del código remoto como raíz a través de metacáculos de shell a la CGI-bin/mainfunction.cgi URI
- CVE-2021-20123 (Puntuación CVSS: 7.5) – Una vulnerabilidad específico de inclusión de archivos en Draytek VigorConnect que podría permitir que un atacante no autenticado descargue archivos arbitrarios del sistema activo subyacente con privilegios raíz a través del punto final de descarga de descarga de descarga
- CVE-2021-20124 (Puntuación CVSS: 7.5) – Una vulnerabilidad específico de inclusión de archivos en Draytek VigorConnect que podría permitir que un atacante no autenticado descargue archivos arbitrarios del sistema activo subyacente con privilegios raíz a través del punto final de WebServlet
Indonesia, Hong Kong y Estados Unidos se han convertido en los principales países de destino del tráfico de ataque para CVE-2020-8515, mientras que Lituania, Estados Unidos y Singapur han sido señalados como parte de los ataques que explotan CVE-2021-20123 y CVE-2021-20124.
