硬编码密码b引发重大风险！Sitecore XP漏洞威胁全球企业安全

导语

    在网络安全日益受到重视的今天，一家知名企业软件中竟然发现使用硬编码的密码“b”作为默认凭证——这不是电影情节，而是真实发生在全球广泛使用的Sitecore Experience Platform（XP）中的高危漏洞。

    网络安全研究人员近期发现，这个企业级内容管理和数字营销平台存在严重安全隐患，攻击者可以利用漏洞链实现预认证远程代码执行（RCE），完全控制受影响系统。更令人震惊的是，这个单字符密码自2020年发布的10.1版本就存在于系统中，直到五年后的今天才被曝光。

一.漏洞链的致命组合

研究人员披露了三个可串联利用的安全漏洞，它们共同构成了一个完整的攻击链：

1. 硬编码凭证漏洞：默认账户“sitecoreServicesAPI”使用了固定密码“b”，虽然该账户没有分配任何角色和权限，但攻击者可借此登录“/sitecore/admin” API端点获取有效会话凭证。

2. 路径遍历导致的RCE漏洞：利用获取的凭证，攻击者可通过“/sitecore/shell/Applications/Dialogs/Upload/Upload2.aspx”端点上传特制ZIP文件，利用zip slip漏洞将WebShell写入网站根目录。

3. PowerShell扩展RCE漏洞：作为“sitecoreServicesAPI”用户，攻击者还可利用“/sitecore%20modules/Shell/PowerShell/UploadFile/PowerShellUploadFile2.aspx”端点的无限制文件上传漏洞实现远程代码执行。

二.攻击步骤简单得令人不安

完整的攻击过程异常简单，几乎可以自动化完成：

• 使用“sitecoreServicesAPI”和密码“b”进行认证

• 访问Upload2.aspx上传页面

• 上传包含WebShell（文件名格式为//../）的ZIP文件

• 勾选“解压”选项完成上传

• 直接访问部署好的WebShell，获得系统控制权1

三.谁处于风险中？

    该漏洞影响范围极其广泛：所有使用Sitecore XP 10.1及以上版本安装包部署的环境均面临风险。

    Sitecore在全球数千个环境中运行，包括银行、航空公司和跨国企业，其影响范围巨大。研究人员特别强调：“这不是理论风险，我们已经完成了端到端的完整攻击链验证。

    如果你在使用Sitecore，情况不可能比这更糟了——立即更改凭证并打补丁，否则攻击者肯定会反向工程利用这个漏洞。”

    值得注意的一点是：通过升级而非全新安装的用户可能不受影响。如果用户之前运行的是10.1之前的版本，然后升级到新版本，并且迁移了旧数据库而非使用安装包中的数据库，则可能不会受到此漏洞链的影响。

四.历史教训与紧急行动

    Sitecore XP过去披露的漏洞（CVE-2019-9874和CVE-2019-9875）已被黑客广泛利用，这使得本次漏洞的威胁程度更加严重。

    安全公司watchTowr Labs的CEO Benjamin Harris直言：“到了2025年，我们仍然不得不指出这种问题非常糟糕。 硬编码密码这种低级错误不应该出现在现代企业软件中，尤其是像Sitecore这样部署在关键业务环境中的平台。”

五.企业自救指南

面对这一紧急威胁，企业安全团队应立即采取以下措施：

1. 凭证重置：立即更改所有Sitecore相关账户的密码，特别是“sitecoreServicesAPI”账户的密码

2. 紧急补丁：立即应用Sitecore发布的最新安全补丁

3. 安装审计：检查Sitecore环境的安装历史，确认是否使用10.1+版本安装包部署

4. 端点监控：加强对“/sitecore/admin”和文件上传端点的异常访问监控

5. 入侵检测：检查服务器上是否存在异常ASPX文件，特别是近期创建的

    在数字资产价值日益增长的今天，企业不能将安全寄托在供应商的单方面保障上。此次硬编码密码事件再次证明：安全无小事，一个字母的疏忽，足以瓦解整个企业的防线。

    对于全球数千家使用Sitecore的企业而言，现在每一秒的延迟，都在为攻击者打开一扇后门。行动起来，别让“b”成为您安全防线上最薄弱的一环。

原文始发于微信公众号（道玄网安驿站）：硬编码密码“b”引发重大风险！Sitecore XP漏洞威胁全球企业安全