CVE-2025-53690 ist eine kritische Zero-Day-Schwachstelle, die Sitecore betrifft, eine .NET-basierte Digital Experience Platform (DXP), die häufig für Unternehmenswebsites, Content-Management und Kundenbindung eingesetzt wird.
Zu den betroffenen Hauptprodukten von Sitecore gehören:
- Experience Manager (XM): Content-Management und Personalisierung.
- Experience Platform (XP): Kombiniert CMS mit Marketing-Automatisierung und Analysen.
- Experience Commerce (XC): E-Commerce-Funktionen, integriert mit Inhalten und Marketing.
- Managed Cloud: Sitecores verwalteter Cloud-Service für Unternehmenskunden.
| Produkt | Sitecore |
| Datum | 09.09.2025 13:16:16 |
Technische Zusammenfassung
CVE-2025-53690 ist eine ViewState-Deserialisierungsschwachstelle in Sitecore-Produkten, die durch die Verwendung statischer und öffentlich bekannter ASP.NET-Machine-Keys verursacht wird.
Diese Schlüssel wurden in Sitecore-Bereitstellungsleitfäden vor 2017 veröffentlicht. ViewState ist ein ASP.NET-Mechanismus, der den Status von Webformularen zwischen Client und Server beibehält. Wenn Machine-Keys vorhersehbar oder bekannt sind, können Angreifer bösartige ViewState-Payloads erstellen, die nach der Deserialisierung beliebigen Code auf dem Server ausführen.
Empfehlungen
- ASP.NET-Machine-Keys sofort rotieren: Ersetzen Sie alle Beispiel- oder statischen Machine-Keys in der Datei web.config durch neue, zufällig generierte und eindeutige Schlüssel.
- Verschlüsselungsebene hinzufügen: Verschlüsseln Sie alle im Klartext vorliegenden Geheimnisse innerhalb der Datei
web.config. - Zugriffsbeschränkung: Beschränken Sie den Zugriff auf die Datei
web.configausschließlich auf Anwendungsadministratoren.
[Callforaction-THREAT-Footer]
Leave a Reply