Se han revelado tres nuevas vulnerabilidades de seguridad en la plataforma de experiencia Sitecore que podrían explotarse para alcanzar la divulgación de información y la ejecución de código remoto.
Los defectos, según WatchToWr Labs, se enumeran a continuación –
- CVE-2025-53693 – HTML Cache Envenenamiento a través de reflexiones inseguras
- CVE-2025-53691 – Ejecución de código remoto (RCE) a través de la deserialización insegura
- CVE-2025-53694 – Divulgación de información en la API del servicio de medios con un usufructuario ignorado restringido, lo que lleva a la exposición de las claves de gusto utilizando un enfoque de fuerza bruta
Sitecore publicó parches para los dos primeros deficiencias en junio y para el tercero de julio de 2025, y la compañía afirma que «la explotación exitosa de las vulnerabilidades relacionadas podría conducir a la ejecución de código remoto y el paso no competente a la información».
Los hallazgos se basan en tres defectos más en el mismo producto que WatchToWr detalló en junio –
- CVE-2025-34509 (Puntuación CVSS: 8.2) – Uso de credenciales codificadas
- CVE-2025-34510 (Puntuación CVSS: 8.8) – Ejecución de código remoto post -autenticado a través de Path Traversal
- CVE-2025-34511 (Puntuación de CVSS: 8.8) – Ejecución de código remoto post -autenticado a través de Sitecore PowerShell Extension
El investigador de WatchToWr Labs, Piotr Bazydlo, dijo que los insectos recién descubiertos podrían diseñarse en una prisión de exploit al reunir la vulnerabilidad de envenenamiento de gusto previo a la autorrena con un problema de ejecución de código remoto post-autenticado para comprometer una instancia de plataforma de experiencia Sitecore totalmente parchada.
Toda la secuencia de eventos que conducen a la ejecución del código es la posterior: un actor de amenaza podría usar la API del servicio de medios, si se expone, para enumerar trivialmente las claves de gusto HTML almacenadas en el gusto Sitecore y mandar solicitudes de envenenamiento de gusto HTTP a esas claves.
Esto podría estar encadenado con CVE-2025-53691 para proporcionar un código HTML desconfiado que finalmente resulta en la ejecución del código mediante una citación de información binaria sin restricciones.
«Nos las arreglamos para aprovecharse de una ruta de advertencia muy restringida para denominar a un método que nos permite envenenar cualquier secreto de gusto HTML», dijo Bazydlo. «Ese único primitivo abrió la puerta para secuestrar páginas de plataforma de experiencia Sitecore, y desde allí, dejando caer JavaScript arbitraria para activar una vulnerabilidad posterior a la Auth RCE».
