Исследователи из компании watchTowr Labs выявили новый метод последовательного использования нескольких уязвимостей в платформе Sitecore Experience Platform. Эта цепь эксплойтов позволяет объединить дефект отравления HTML-кэша, не требующий аутентификации, с уязвимостью удаленного выполнения кода (RCE), для которой аутентификация уже нужна. В результате злоумышленник может скомпрометировать полностью обновленный экземпляр платформы, выполнить произвольный код и получить несанкционированный доступ к информации.
В центре атаки находятся три недавно обнаруженные уязвимости, которые исследователи смогли связать воедино. Первая, CVE-2025-53693, представляет собой отравление HTML-кэша через небезопасные рефлексии. Она служит начальной точкой входа для атакующего, не требуя предварительной аутентификации в системе. С ее помощью злоумышленник может внедрить вредоносный HTML- и JavaScript-код в кэшированные страницы платформы.
Ключевую роль в завершении атаки играет уязвимость CVE-2025-53691, классифицированная как удаленное выполнение кода через небезопасную десериализацию. Этот дефект активируется с помощью вредоносного кода, внедренного на предыдущем этапе. Уязвимость возникает из-за неограниченного вызова
Третий компонент цепи, CVE-2025-53694, — это уязвимость раскрытия информации в API ItemService. Она позволяет атакующему с правами ограниченного анонимного пользователя раскрывать ключи кэша методом перебора. Эта информация значительно упрощает реализацию первого шага атаки — отравления кэша, делая эксплойт более надежным и целенаправленным.
Исследователь watchTowr Labs, Петр Базыдло, так описал механизм атаки: «Нам удалось злоупотребить очень ограниченным путем рефлексии, чтобы вызвать метод, позволяющий отравить любой ключ HTML-кэша. Этот единственный примитив открыл дверь для захвата страниц Sitecore Experience Platform — и оттуда, для внедрения произвольного JavaScript, чтобы запустить уязвимость удаленного выполнения кода после аутентификации».
Процесс атаки выглядит следующим образом: сначала злоумышленник использует CVE-2025-53693 для отравления кэша и захвата контроля над одной из страниц платформы. Затем на эту страницу внедряется произвольный JavaScript-код. Этот код ожидает действий аутентифицированного пользователя или иным образом инициирует срабатывание второй уязвимости, что в конечном итоге приводит к выполнению кода на сервере через CVE-2025-53691.
Производитель платформы, компания Sitecore, подтвердила серьезность угрозы. В официальном заявлении говорится: «... успешная эксплуатация связанных уязвимостей может привести к удаленному выполнению кода и несанкционированному доступу к информации». Компания выпустила исправления для устранения этих дефектов: патчи для CVE-2025-53693 (отравление кэша) и CVE-2025-53691 (RCE) стали доступны в июне 2025 года, а исправление для CVE-2025-53694 (раскрытие информации) — в июле 2025 года.
Эти открытия стали продолжением предыдущей работы watchTowr Labs, которая в июне того же года уже сообщала о трех других критических уязвимостях в Sitecore. Среди них были CVE-2025-34509 (использование жестко закодированных учетных данных, CVSS 8.2), CVE-2025-34510 (удаленное выполнение кода после аутентификации через обход пути, CVSS 8.8) и CVE-2025-34511 (удаленное выполнение кода через расширение Sitecore PowerShell, CVSS 8.8).
Изображение носит иллюстративный характер
В центре атаки находятся три недавно обнаруженные уязвимости, которые исследователи смогли связать воедино. Первая, CVE-2025-53693, представляет собой отравление HTML-кэша через небезопасные рефлексии. Она служит начальной точкой входа для атакующего, не требуя предварительной аутентификации в системе. С ее помощью злоумышленник может внедрить вредоносный HTML- и JavaScript-код в кэшированные страницы платформы.
Ключевую роль в завершении атаки играет уязвимость CVE-2025-53691, классифицированная как удаленное выполнение кода через небезопасную десериализацию. Этот дефект активируется с помощью вредоносного кода, внедренного на предыдущем этапе. Уязвимость возникает из-за неограниченного вызова
BinaryFormatter, что позволяет исполнить на сервере код, переданный злоумышленником. Третий компонент цепи, CVE-2025-53694, — это уязвимость раскрытия информации в API ItemService. Она позволяет атакующему с правами ограниченного анонимного пользователя раскрывать ключи кэша методом перебора. Эта информация значительно упрощает реализацию первого шага атаки — отравления кэша, делая эксплойт более надежным и целенаправленным.
Исследователь watchTowr Labs, Петр Базыдло, так описал механизм атаки: «Нам удалось злоупотребить очень ограниченным путем рефлексии, чтобы вызвать метод, позволяющий отравить любой ключ HTML-кэша. Этот единственный примитив открыл дверь для захвата страниц Sitecore Experience Platform — и оттуда, для внедрения произвольного JavaScript, чтобы запустить уязвимость удаленного выполнения кода после аутентификации».
Процесс атаки выглядит следующим образом: сначала злоумышленник использует CVE-2025-53693 для отравления кэша и захвата контроля над одной из страниц платформы. Затем на эту страницу внедряется произвольный JavaScript-код. Этот код ожидает действий аутентифицированного пользователя или иным образом инициирует срабатывание второй уязвимости, что в конечном итоге приводит к выполнению кода на сервере через CVE-2025-53691.
Производитель платформы, компания Sitecore, подтвердила серьезность угрозы. В официальном заявлении говорится: «... успешная эксплуатация связанных уязвимостей может привести к удаленному выполнению кода и несанкционированному доступу к информации». Компания выпустила исправления для устранения этих дефектов: патчи для CVE-2025-53693 (отравление кэша) и CVE-2025-53691 (RCE) стали доступны в июне 2025 года, а исправление для CVE-2025-53694 (раскрытие информации) — в июле 2025 года.
Эти открытия стали продолжением предыдущей работы watchTowr Labs, которая в июне того же года уже сообщала о трех других критических уязвимостях в Sitecore. Среди них были CVE-2025-34509 (использование жестко закодированных учетных данных, CVSS 8.2), CVE-2025-34510 (удаленное выполнение кода после аутентификации через обход пути, CVSS 8.8) и CVE-2025-34511 (удаленное выполнение кода через расширение Sitecore PowerShell, CVSS 8.8).
