Dans un article publié par Piotr Bazydlo sur la plateforme watchTowr, des vulnérabilités critiques ont été découvertes dans le Sitecore Experience Platform (XP), un système de gestion de contenu largement utilisé par les entreprises.

L’article détaille une chaîne de RCE pré-authentification exploitant des identifiants codés en dur et des failles de sécurité dans les mécanismes d’authentification de Sitecore. Ces vulnérabilités permettent à des attaquants de prendre le contrôle de systèmes Sitecore sans authentification préalable.

Les chercheurs ont découvert plusieurs failles, dont des Post-Auth RCE via des traversées de chemin et des extensions PowerShell de Sitecore, touchant potentiellement des milliers d’instances exposées à Internet. Ces vulnérabilités ont été signalées à Sitecore, qui a publié des correctifs.

  • WT-2025-0024 (CVE-2025-34509): Hardcoded Credentials
  • WT-2025-0032 (CVE-2025-34510): Post-Auth RCE (Via Path Traversal)
  • WT-2025-0025 (CVE-2025-34511) (Bonus): Post-Auth RCE (Via Sitecore PowerShell Extension)

Ce rapport de vulnérabilité vise à alerter les utilisateurs de Sitecore sur la nécessité de mettre à jour leurs systèmes pour se protéger contre ces failles critiques.

🧠 TTP et IOC détecté

TTP

T1203 - Exploitation for Client Execution, T1078 - Valid Accounts, T1133 - External Remote Services, T1059.001 - PowerShell, T1003 - Credential Dumping

IOC

Aucun IOC spécifique (hash, domaine, IP) n’est mentionné dans l’analyse fournie.

🛠️ Conseils de remédiation mentionnés (ou déduits) :

Mettre à jour Sitecore XP vers la version ≥ 10.4.1, qui corrige les vulnérabilités mentionnées (notamment les CVE-2025-34509, 34510, 34511).

Éviter l’utilisation des installateurs des versions 10.1 à 10.4 si l’on veut éviter l’injection des utilisateurs internes avec mots de passe faibles.

Changer les mots de passe des comptes internes si possible, bien que Sitecore déconseille la modification directe de certains comptes.

Restreindre l’accès aux interfaces sensibles comme :

/sitecore/shell/Applications/Dialogs/Upload/Upload2.aspx

/PowerShell/UploadFile/PowerShellUploadFile2.aspx via règles d’IIS ou filtrage réseau.

Vérifier les droits d’accès des utilisateurs comme sitecore\ServicesAPI, même s’ils n’ont pas de rôles affectés : une authentification est quand même possible.

Contrôler les fichiers ZIP acceptés par les interfaces d’upload, en ajoutant des contrôles sur les chemins (prévention de ZIP slip).

Vérifier la présence de webshells dans les répertoires d’application après exploitation :

Exemples de chemins cibles : sitecore\modules\Shell\PowerShell\UploadFile*.aspx

🔗 Source originale : https://labs.watchtowr.com/is-b-for-backdoor-pre-auth-rce-chain-in-sitecore-experience-platform/