Des analystes en sécurité ont réussi à déjouer une attaque exploitant une vulnérabilité critique de type zero-day dans Sitecore, un système de gestion de contenu largement utilisé par de grandes entreprises telles que HSBC, L’Oréal, Toyota et United Airlines. L’attaque a tiré parti de clés machine ASP.NET exposées, présentes dans les guides de déploiement de Sitecore datant de 2017 et avant, permettant ainsi l’exécution de code à distance. ASP.NET, un framework d’application web développé par Microsoft, utilise ces clés pour sécuriser des opérations cruciales. L’exposition est survenue en raison d’une vulnérabilité de désérialisation ViewState dans Sitecore Experience Manager et Platform. Ce défaut provenait du fait que les utilisateurs copiaient les clés d’exemple issues de la documentation officielle au lieu de générer des clés uniques. La vulnérabilité, identifiée sous le code CVE-2025-53690 avec un score de sévérité critique de 9.0, affecte les versions Sitecore XM et XP jusqu’à la version 9.0. Elle touche les clients utilisant la clé d’exemple des guides de déploiement publics, en particulier dans Sitecore XP 9.0 et Active Directory 1.4 et antérieures. Bien que l’attaque ait été interrompue avant son achèvement, elle a révélé la compréhension sophistiquée des attaquants concernant le produit et ses vulnérabilités.
La vulnérabilité zero-day de Sitecore a-t-elle été corrigée après son exploitation ?
