研究人员警告 Sitecore 漏洞链可能引发缓存中毒和远程代码执行

Sitecore Experience Platform 中披露了三个新的安全漏洞，这些漏洞可被利用来实现信息泄露和远程代码执行。

根据 watchTowr Labs 的调查，这些缺陷如下：

CVE-2025-53693 - 通过不安全的反射导致 HTML 缓存中毒
CVE-2025-53691 - 通过不安全的反序列化实现远程代码执行 (RCE)
CVE-2025-53694 - ItemService API 中的信息泄露，限制匿名用户访问，导致缓存密钥被暴力破解
Sitecore 于2025 年 6 月发布了针对前两个缺陷的补丁，并于2025 年 7 月发布了针对第三个缺陷的补丁，该公司表示“成功利用相关漏洞可能会导致远程代码执行和未经授权的信息访问”。

身份安全风险评估
此次调查结果基于 watchTowr 在今年 6 月份披露的同一产品中的另外三个缺陷：

CVE-2025-34509（CVSS 评分：8.2）- 使用硬编码凭证
CVE-2025-34510（CVSS 评分：8.8）——通过路径遍历进行后认证远程代码执行
CVE-2025-34511（CVSS 评分：8.8）- 通过 Sitecore PowerShell 扩展程序进行后身份验证的远程代码执行
watchTowr Labs 研究员 Piotr Bazydlo 表示，新发现的漏洞可以形成一个漏洞利用链，通过将预授权 HTML 缓存中毒漏洞与后身份验证远程代码执行问题结合起来，从而危害完全修补的 Sitecore Experience Platform 实例。

导致代码执行的整个事件序列如下：威胁行为者可以利用 ItemService API（如果暴露）来轻松枚举存储在 Sitecore 缓存中的 HTML 缓存键，并向这些键发送 HTTP 缓存中毒请求。

然后，它可以与 CVE-2025-53691 结合起来提供恶意 HTML 代码，最终导致通过不受限制的BinaryFormatter调用执行代码。

Bazydlo 表示：“我们成功利用了一条非常受限的反射路径，调用了一种可以毒害任何 HTML 缓存键的方法。这一原语为劫持 Sitecore Experience Platform 页面打开了大门，并从那里释放任意 JavaScript 代码，从而触发 Post-Auth RCE 漏洞。”