由watchTowr研究人员发现,Sitecore Experience Platform(XP)存在一系列漏洞,允许攻击者无需认证即可执行远程代码,入侵并劫持服务器。研究显示,漏洞链包括三个不同的漏洞。其中一个是由于内部用户(sitecore\ServicesAPI)使用硬编码密码“b”,使得劫持变得极其简单。虽然此用户不是管理员且没有分配角色,但攻击者可以通过绕过Sitecore后端登录检查来验证身份。
一旦获得初步访问权限,攻击者可利用第二个漏洞,即Sitecore上传向导中的Zip Slip漏洞。恶意文件路径可以通过ZIP文件上传,导致任意文件写入web根目录。第三个漏洞在安装Sitecore PowerShell Extensions (SPE)模块后变得可利用,允许攻击者上传任意文件至指定路径,绕过扩展和位置限制。
这些漏洞影响Sitecore XP版本10.1到10.4。WatchTowr的扫描显示超过22,000个公开暴露的Sitecore实例,说明存在显著的攻击面。虽然补丁在2025年5月已推出,但相关技术细节于6月17日才公开,以便客户更新。