Sitecore 曝零日漏洞，可执行任意代码攻击

FreeBuf · 公众号 · 互联网安全 · 2025-03-09 18:00

正文

近日披露的 Sitecore 体验平台关键漏洞（CVE-2025-27218）允许未经身份验证的攻击者在未打补丁的系统上执行任意代码。该漏洞源于不安全的数据反序列化操作，影响Sitecore 体验管理器（XM）和体验平台（XP）8.2至10.4版本，这些版本在安装补丁KB1002844之前均存在风险。

安全公司Assetnote发现了这一漏洞，该漏洞利用了Sitecore对已弃用的BinaryFormatter类的错误使用，从而绕过身份验证检查并部署恶意负载。

Sitecore 零日漏洞的技术细节

该漏洞位于MachineKeyTokenService.IsTokenValid方法中，该方法使用Convert.Base64ToObject对ThumbnailsAccessToken HTTP头中的不受信任数据进行反序列化。关键问题在于，反序列化操作发生在解密之前，这使得攻击者能够直接将精心构造的负载注入到处理流程中。

攻击者通过使用ysoserial.net等工具生成恶意的序列化对象，并利用WindowsIdentity gadget链来执行操作系统命令。例如，以下负载可以创建一个文件以确认代码执行：

生成的Base64编码负载被插入到ThumbnailsAccessToken头中。Sitecore的AuthenticateThumbnailsRequest HTTP处理器（属于httpRequestBegin管道）会在没有身份验证检查的情况下解析该头，导致立即进行反序列化并激活负载。

漏洞的广泛影响与风险

Sitecore为全球超过12,000个企业数字平台提供支持，因此该漏洞具有系统性风险：

无需身份验证的远程代码执行（RCE）：利用此漏洞无需任何凭证，使得大规模扫描和攻击自动化成为可能。
完全服务器控制：成功攻击将授予IIS APPPOOL\Sitecore权限，允许横向移动和数据泄露。
业务中断：恶意攻击者可能篡改网站、注入恶意软件或破坏CMS操作。

Assetnote的分析指出，Sitecore对BinaryFormatter的错误实现（微软已明确警告不应使用此类）创造了一个本可避免的攻击面。Sitecore通过此机制序列化字节数组的行为引入了不必要的风险，而解密步骤的顺序错误则进一步加剧了问题。

缓解措施与建议

Sitecore已发布补丁来修复CVE-2025-27218，并敦促客户采取以下措施：

立即升级到Sitecore 10.4或应用安全补丁。
检查HTTP管道中是否存在未经授权的BinaryFormatter使用。
监控ThumbnailsAccessToken头的异常活动。
对于无法立即打补丁的组织，微软建议强制执行Serialization Binder限制，或通过运行时配置完全禁用BinaryFormatter。

这一事件凸显了安全反序列化实践中的持续挑战。尽管自2017年以来，人们对BinaryFormatter的风险已有广泛认知，但其在企业软件中的持续使用表明漏洞研究与开发人员教育之间仍存在差距。截至2025年3月6日，尚未确认有野外利用案例，但未打补丁的系统仍面临严重威胁。使用Sitecore的组织必须优先修复此漏洞，以防大规模数据泄露。

【 FreeBuf粉丝交流群招新啦！

在这里，拓宽网安边界

甲方安全建设干货；

乙方最新技术理念；

全球最新的网络安全资讯；

群内不定期开启各种抽奖活动；

FreeBuf盲盒、大象公仔......

扫码添加小蜜蜂微信回复「加群」，申请加入群聊】