كشف باحثون في مجال الأمن السيبراني عن ثلاث ثغرات خطيرة في منصة Sitecore Experience Platform (XP) يمكن ربطها معًا لاستغلالها في تنفيذ أوامر عن بُعد دون الحاجة للمصادقة المسبقة (Pre-authenticated Remote Code Execution).
تُعد منصة Sitecore XP من أشهر منصات إدارة المحتوى والتسويق الرقمي والتحليلات الموجهة للمؤسسات، وتُستخدم في قطاعات حيوية كالمصارف وشركات الطيران والجهات الحكومية.
قائمة الثغرات المُكتشفة:
-
CVE-2025-34509 (درجة الخطورة 8.2): استخدام بيانات اعتماد ثابتة Hard-coded credentials
-
CVE-2025-34510 (درجة الخطورة 8.8): تنفيذ أوامر عن بُعد بعد المصادقة عبر استغلال ثغرة تسلسل المسارات (Path Traversal)
-
CVE-2025-34511 (درجة الخطورة 8.8): تنفيذ أوامر عن بُعد بعد المصادقة عبر إضافة PowerShell في Sitecore
“كلمة مرور مكونة من حرف واحد فقط!”
أفاد الباحث بيوتر بازيدلو من فريق watchTowr Labs أن حساب المستخدم الافتراضي “sitecore\ServicesAPI” يحتوي على كلمة مرور ثابتة تتكون من حرف واحد فقط وهو “b”. والمثير أن الوثائق الرسمية لـ Sitecore توصي بعدم تغيير بيانات الاعتماد الافتراضية لهذا الحساب، رغم خطورته الشديدة.
وعلى الرغم من أن هذا الحساب لا يملك صلاحيات ظاهرة داخل المنصة، إلا أن الباحثين اكتشفوا إمكانية استخدامه لتسجيل الدخول عبر واجهة برمجة التطبيقات “/sitecore/admin”، مما يتيح الحصول على ملف جلسة (Session Cookie) صالح.
وهذا يمكّن المهاجمين من تنفيذ سلسلة استغلال تؤدي إلى زرع شيفرة خبيثة (Web Shell) عبر ثغرة Zip Slip من خلال صفحة الرفع:
“/sitecore/shell/Applications/Dialogs/Upload/Upload2.aspx”
خطوات تنفيذ الهجوم:
-
تسجيل الدخول باستخدام بيانات حساب “sitecore\ServicesAPI”
-
الوصول إلى صفحة Upload2.aspx
-
رفع ملف ZIP يحتوي على ملف Web Shell موجه للمجلد الجذري
-
تفعيل خيار فك الضغط (Unzip) وإكمال عملية الرفع
-
الوصول إلى Web Shell وتشغيله على الخادم
الثغرة الثالثة: استغلال PowerShell Extensions
تسمح ثغرة غير مقيدة في تحميل الملفات عبر واجهة PowerShell في Sitecore بتنفيذ أوامر عن بُعد، ويمكن استغلالها بنفس حساب “ServicesAPI” عبر الرابط:
“/sitecore%20modules/Shell/PowerShell/UploadFile/PowerShellUploadFile2.aspx”
وأوضح الباحثون أن كلمة المرور الثابتة هذه تأتي مضمّنة ضمن قاعدة بيانات المستخدمين التي يتم استيرادها أثناء تثبيت Sitecore، بدءًا من الإصدار 10.1.
“هذا يعني أن سلسلة الهجوم تنجح فقط إذا تم تثبيت Sitecore باستخدام الحزمة الرسمية بعد الإصدار 10.1، أما في حال تم الترقية من إصدار أقدم، دون استيراد قاعدة بيانات جديدة، فالمستخدمين قد لا يكونون عرضة لهذه الثغرات.”
خلفية سابقة وسياق حرج
سبق وأن تم استغلال ثغرات في Sitecore XP مثل CVE-2019-9874 وCVE-2019-9875 في هجمات فعلية، ما يعزز خطورة الوضع الحالي ويؤكد الحاجة إلى تحديث الأنظمة فورًا.
وفي تصريح قوي، قال بنيامين هاريس، المدير التنفيذي لشركة watchTowr:
“نحن في عام 2025، ولا يزال هناك برمجيات تُثبت بكلمة مرور ‘b’؟ هذا أمر كارثي. لقد اختبرنا سلسلة الاستغلال كاملة من البداية للنهاية، وإذا كنت تدير Sitecore – فلا يوجد وضع أسوأ من هذا. غيّر كلمات المرور وطبّق التصحيحات الأمنية فورًا، قبل أن يسبقك المهاجمون.”
وعقب النشر، صرّحت شركة Sitecore بأنها على علم بالثغرات التي تم الإبلاغ عنها، وأكدت تعاونها مع فريق watchTowr لنشر مقالة دعم فني تحتوي على التصحيحات والتعليمات اللازمة لمعالجة الثغرات.
وأضاف المتحدث باسم الشركة:
“جميع منتجات SaaS المتأثرة تم تأمينها بالفعل، ونحث العملاء الذين يستخدمون Sitecore محليًا (On-Premises) على تطبيق التصحيحات فورًا.”
