Sitecore反序列化不可信数据漏洞CVE-2025-53690

Sitecore Experience Manager（XM）和Experience Platform（XP）是Sitecore提供的两个核心平台，这两个平台分别承担着不同的功能。

一、基本情况

XM 是Sitecore的内容管理系统，主要用于网站内容的创建、编辑和版本控制，提供直观界面和强大工具，帮助用户高效管理多站点内容。

XP 是Sitecore的数字营销解决方案，集成了内容管理、客户数据分析和个性化推荐功能，能够帮助企业实现360度客户画像和个性化体验。

栋科技漏洞库关注到Sitecore Experience Manager（XM）和Experience Platform（XP）高危漏洞CVE-2025-53690，CVSS 3.x评分9.0。

二、漏洞分析

CVE-2025-53690漏洞是Sitecore Experience Manager（XM）和Sitecore Experience Platform（XP）中存在的反序列化不可信数据漏洞。

该漏洞源于系统对不可信来源序列化数据未进行充分验证，导致攻击者构造恶意负载触发远程代码执行（RCE），反序列化允许代码注入。

具体而言，攻击者通过互联网可访问的Sitecore实例，向/sitecore/blocked.aspx页面发送特制HTTP请求，页面因使用隐藏ViewState表单。

而且，该页面无需认证即可访问，成为攻击入口；

利用Sitecore 2017年及更早版本部署指南中公开ASP.NET机器密钥，构造包含恶意代码的ViewState负载，当Sitecore反序列化该数据时，

触发预设的代码执行路径实现远程代码执行（RCE）；

攻击者入侵后即可进一步上传Webshell等恶意文件、窃取系统凭证或通过EARTHWORM、DWAGENT等横向移动工具渗透内网其他设备。

最终完成从外网到内网的完整攻击链。

三、影响范围

Sitecore Experience Manager（XM）<= 9.0

Experience Platform（XP）<= 9.0

四、修复建议

Sitecore Experience Manager（XM）>= 9.0

Experience Platform（XP）>= 9.0

五、参考链接

管理员已设置登录后刷新可查看