Des attaquants exploitent une vulnérabilité de type zero-day, identifiée sous le code CVE-2025-53690, dans les solutions Sitecore pour infiltrer des déploiements sur site exposés à Internet. Cette vulnérabilité, un défaut de désérialisation de ViewState, affecte toutes les versions de Sitecore Experience Manager, Experience Platform, Experience Commerce et Managed Cloud. Les systèmes utilisant une clé machine d’exemple issue d’anciennes instructions de déploiement sont particulièrement vulnérables. L’exploitation de cette faille peut permettre l’exécution de code à distance sur les instances vulnérables. Les équipes de Mandiant sont intervenues lors d’une attaque impliquant l’analyse des serveurs web et l’exploitation de la page /sitecore/blocked.aspx pour exécuter des requêtes ViewState malveillantes. Une fois à l’intérieur, les attaquants ont installé des outils pour collecter et exfiltrer des informations sensibles, créer des comptes administrateur et réaliser une reconnaissance réseau approfondie. Mandiant a partagé des indicateurs de compromission et fourni des outils de détection. Sitecore a mis à jour ses déploiements pour générer des clés machine uniques et a conseillé ses clients affectés sur les mesures de protection à prendre. Les organisations sont incitées à vérifier la présence de signes de compromission.
Une vulnérabilité zero-day dans Sitecore est-elle exploitée par des attaquants ?
