نجح محللو الأمن في إحباط هجوم استغل ثغرة أمنية حرجة غير معروفة سابقاً في نظام Sitecore، وهو نظام إدارة محتوى يستخدمه العديد من الشركات الكبرى مثل HSBC ولوريال وتويوتا ويونايتد إيرلاينز. استغل الهجوم مفاتيح ASP.NET المكشوفة التي وُجدت في أدلة نشر Sitecore من عام 2017 وما قبله، مما أتاح تنفيذ تعليمات برمجية عن بُعد. يُستخدم إطار عمل تطبيقات الويب ASP.NET، الذي طورته شركة مايكروسوفت، لتأمين العمليات الحيوية من خلال مفاتيح الآلة. حدث التعرض بسبب ثغرة في استرجاع حالة العرض (ViewState) في Sitecore Experience Manager وPlatform. نشأت هذه الثغرة من قيام المستخدمين بنسخ مفاتيح مثالية من الوثائق الرسمية بدلاً من توليد مفاتيح فريدة. تم تحديد الثغرة كـ CVE-2025-53690 بدرجة خطورة حرجة بلغت 9.0، وتؤثر على إصدارات Sitecore XM وXP حتى الإصدار 9.0. تؤثر هذه الثغرة على العملاء الذين يستخدمون المفتاح العيني من أدلة النشر العامة، خاصة في Sitecore XP 9.0 وActive Directory 1.4 وما قبله. وعلى الرغم من أن الهجوم تم إحباطه قبل اكتماله، إلا أنه كشف عن فهم متقدم من المهاجمين للمنتج وثغراته.
هل تم تصحيح ثغرة يوم الصفر في Sitecore بعد استغلالها؟
