كشف باحثون في مختبرات watchTowr عن ثلاث ثغرات أمنية جديدة في منصة Sitecore Experience Platform، يمكن استغلالها لسرقة المعلومات أو لتنفيذ تعليمات برمجية عن بُعد (RCE).
وتشمل الثغرات المكتشفة:
-
CVE-2025-53693: ثغرة تسمح بتسميم الذاكرة المؤقتة (HTML Cache Poisoning) عبر انعكاسات غير آمنة.
-
CVE-2025-53691: ثغرة تنفيذ التعليمات البرمجية عن بُعد عبر عملية إلغاء تسلسل غير آمنة (Insecure Deserialization).
-
CVE-2025-53694: ثغرة إفصاح عن المعلومات في واجهة ItemService API، تسمح لمستخدم مجهول ذي صلاحيات محدودة بالكشف عن مفاتيح الذاكرة المؤقتة باستخدام أسلوب القوة الغاشمة.
أصدرت Sitecore ترقيعات للثغرتين الأوليين في يونيو 2025، وللثالثة في يوليو، محذرة من أن استغلال هذه الثغرات بنجاح قد يؤدي إلى تنفيذ تعليمات برمجية عن بُعد والوصول غير المصرح به إلى المعلومات.
استغلال متسلسل يهدد الأنظمة
هذه النتائج تبني على ثلاث ثغرات أخرى في المنتج نفسه تم الكشف عنها في يونيو الماضي، وهي:
-
CVE-2025-34509 (درجة CVSS: 8.2): استخدام بيانات اعتماد ثابتة في الكود.
-
CVE-2025-34510 (درجة CVSS: 8.8): تنفيذ تعليمات برمجية عن بُعد بعد المصادقة عبر استغلال ثغرة Path Traversal.
-
CVE-2025-34511 (درجة CVSS: 8.8): تنفيذ تعليمات برمجية عن بُعد بعد المصادقة عبر Sitecore PowerShell Extension.
ووفقًا للباحث بيوتر بازيدلو من watchTowr، فإن الثغرات المكتشفة حديثًا يمكن دمجها في سلسلة استغلال (Exploit Chain)، تبدأ من ثغرة تسميم الذاكرة المؤقتة قبل المصادقة، وتنتهي باستغلال ثغرة RCE بعد المصادقة، مما يسمح بالسيطرة على منصة Sitecore حتى وإن كانت مُحدَّثة بالكامل.
سيناريو الهجوم المحتمل
يبدأ الهجوم باستغلال واجهة ItemService API – إذا كانت مكشوفة – لتعداد مفاتيح الذاكرة المؤقتة الخاصة بـ HTML في منصة Sitecore، ثم إرسال طلبات تسميم لهذه المفاتيح.
بعد ذلك، يمكن ربط الهجوم مع الثغرة CVE-2025-53691 لحقن شيفرات HTML خبيثة، تؤدي في النهاية إلى تنفيذ تعليمات برمجية عبر استدعاء غير مقيد لدالة BinaryFormatter.
وأوضح بازيدلو: “تمكنا من استغلال مسار انعكاس محدود للغاية لاستدعاء دالة تسمح لنا بتسميم أي مفتاح HTML Cache. هذا الاستغلال البسيط فتح الباب للسيطرة على صفحات منصة Sitecore وإسقاط شيفرات JavaScript عشوائية، الأمر الذي يفعّل ثغرة RCE بعد المصادقة”.
