حذرت شركة watchTowr Labs من ثلاث ثغرات جديدة في منصة Sitecore Experience Platform يمكن أن تؤدي إلى تسريب المعلومات وتنفيذ أوامر عن بُعد. الثغرات التي كُشف عنها هي:
- CVE-2025-53693: ثغرة تسميم الكاش (HTML Cache Poisoning) عبر انعكاسات غير آمنة.
- CVE-2025-53691: ثغرة تنفيذ أوامر عن بُعد (RCE) من خلال تسلسل بيانات غير آمن (Insecure Deserialization).
- CVE-2025-53694: ثغرة إفصاح معلومات في واجهة ItemService API تسمح لمستخدم مجهول بالكشف عن مفاتيح الكاش باستخدام أسلوب التخمين.
أصدرت شركة Sitecore تحديثات لمعالجة أول ثغرتين في يونيو 2025، بينما أُصلحت الثالثة في يوليو، مؤكدة أن الاستغلال الناجح لهذه الثغرات قد يؤدي إلى تنفيذ أوامر غير مصرح بها والوصول إلى بيانات حساسة.
استغلال متسلسل يسمح بالتحكم الكامل في المنصة عبر هجوم مدمج
أوضح الباحث بيوتر بازيدلو من watchTowr Labs أن هذه الثغرات يمكن ربطها في سلسلة استغلال (Exploit Chain)، تبدأ من ثغرة تسميم الكاش قبل المصادقة ثم تنتهي بتنفيذ أوامر عن بُعد بعد المصادقة، حتى على نسخة محدثة من المنصة.
تسلسل الهجوم كما فصله الباحثون:
- يستغل المهاجم واجهة ItemService API – إذا كانت مكشوفة – لتعداد مفاتيح الكاش المخزنة في النظام.
- يرسل طلبات HTTP خبيثة لتسميم هذه المفاتيح، مما يفتح الباب لحقن تعليمات HTML ضارة.
- يُستغل بعد ذلك خلل CVE-2025-53691 لتغذية النظام بكود ضار عبر BinaryFormatter غير مقيد، ما يؤدي في النهاية إلى تنفيذ أوامر عشوائية على الخادم.
وأضاف بازيدلو: “نجحنا في استغلال مسار انعكاسي شديد التقييد لاستدعاء دالة تسمح لنا بتسميم أي مفتاح كاش HTML. هذا البدائي البسيط فتح الباب لاختطاف صفحات Sitecore وإسقاط JavaScript عشوائي، ومن ثم تفعيل ثغرة تنفيذ أوامر بعد المصادقة.”
