研究人员警告：Sitecore 漏洞利用链连接了缓存投毒与远程代码执行

在 Sitecore Experience Platform 中披露了三个新的安全漏洞，攻击者可能利用这些漏洞实现信息泄露和远程代码执行。

根据 watchTowr Labs，这些漏洞如下：

CVE-2025-53693 —— 由于不安全的反射导致的 HTML 缓存投毒

CVE-2025-53691 —— 由于不安全的反序列化导致的远程代码执行（RCE）

CVE-2025-53694 —— ItemService API 在受限的匿名用户下存在信息泄露漏洞，攻击者可通过暴力破解方式获取缓存键

Sitecore 已在 2025 年 6 月发布了前两个漏洞的补丁，并在 2025 年 7 月发布了第三个漏洞的补丁。
该公司表示：“相关漏洞一旦被成功利用，可能会导致远程代码执行以及未经授权的信息访问。”

这些研究结果建立在 watchTowr 早在 6 月份就披露的同一产品的另外三个漏洞之上：

CVE-2025-34509 （CVSS 评分：8.2）—— 使用硬编码凭据

CVE-2025-34510 （CVSS 评分：8.8）—— 通过路径遍历在认证后实现远程代码执行

CVE-2025-34511 （CVSS 评分：8.8）—— 通过 Sitecore PowerShell Extension 在认证后实现远程代码执行

watchTowr Labs 的研究员 Piotr Bazydlo 表示，新发现的漏洞可以组合成一个利用链：将 未认证的 HTML 缓存投毒漏洞 与 认证后的远程代码执行问题结合起来，从而攻陷一个已经完全打上补丁的 Sitecore Experience Platform 实例。

导致代码执行的完整攻击步骤如下：

威胁行为者如果能访问暴露的 ItemService API，即可轻易枚举存储在 Sitecore 缓存中的 HTML 缓存键；

然后向这些缓存键发送 HTTP 缓存投毒请求；

接着与 CVE-2025-53691 结合，注入恶意 HTML 代码，最终通过 不受限制的 BinaryFormatter 调用实现代码执行。

Bazydlo 表示：

“我们成功利用了一个极其受限的反射路径，调用了一个允许我们投毒任意 HTML 缓存键的方法。这个单一的原语为劫持 Sitecore Experience Platform 页面打开了大门——随后我们便能注入任意 JavaScript，从而触发一个认证后的远程代码执行漏洞。”