vulnerabilidades
Los investigadores han descubierto tres vulnerabilidades en el conocido sistema de administración de contenidos Sitecore Experience Platform.
- CVE-2025-34509 implica una contraseña codificada de forma rígida (que consiste en una sola letra) que permite a un atacante iniciar sesión de forma remota como una cuenta de servicio.
- CVE-2025-34510 es una vulnerabilidad de Zip Slip que permite a un usuario autenticado cargar y extraer un archivo comprimido ZIP en el directorio raíz del sitio web.
- CVE-2025-34511 también permite a los usuarios cargar archivos externos al sitio, pero esta vez sin restricciones.
Con la combinación de la primera vulnerabilidad con cualquiera de las dos últimas, un atacante puede lograr la ejecución remota de código (RCE) en un servidor que ejecute Sitecore Experience Platform.
Actualmente, no hay pruebas de que estas vulnerabilidades se estén explotando de manera descontrolada. Sin embargo, el análisis minucioso que publicó watchTowr contiene suficiente información para que los actores de amenazas puedan convertirlas en armas en cualquier momento.
CVE-2025-34509: acceso a través de una cuenta preestablecida
El CMS Sitecore incluye varias cuentas predeterminadas, y una de ellas es sitecore\ServicesAPI. Desde luego, las contraseñas de todas las cuentas se almacenan en forma de hash (e incluso con sal). Sin embargo, esto no supone una gran diferencia si la contraseña consiste en una sola letra “b”. Una contraseña así puede ser forzada en unos tres segundos.
En particular, los desarrolladores de Sitecore desaconsejan modificar las cuentas predeterminadas, ya que advierten que “la edición de una cuenta predeterminada de usuario puede afectar a otras áreas del modelo de seguridad” (independientemente de lo que esto signifique). Por lo tanto, es poco probable que los administradores del sitio que sigan las instrucciones oficiales cambien estas contraseñas. Como resultado, es probable que estas cuentas predeterminadas estén presentes en la mayoría de los sitios web que utilizan este CMS.
Dicho esto, el usuario sitecore\ServicesAPI no tiene derechos ni funciones asignados, por lo que no es posible autenticarse simplemente a través de la interfaz de inicio de sesión estándar de Sitecore. Sin embargo, los investigadores encontraron una manera de eludir la verificación de la base de datos que es necesaria para lograr una autenticación correcta (para conocer más detalles, consulta la investigación original). Como resultado, el atacante obtiene una cookie de sesión válida. Sigue sin tener derechos de administrador, pero esta cookie se puede utilizar para otros ataques.
CVE-2025-34510: vulnerabilidad en el cargador de archivos de Sitecore
Sitecore cuenta con un mecanismo de carga de archivos que cualquier usuario autenticado puede usar. Por lo tanto, con una cookie de sesión válida, un atacante puede crear una solicitud HTTP para cargar y extraer automáticamente un archivo comprimido ZIP. La esencia de CVE-2025-34510 es que, debido a una limpieza de entrada defectuosa, un atacante autenticado puede llevar a cabo un traspaso de rutas. Puedes leer más información acerca de este tipo de vulnerabilidad, conocida como Zip Slip, en nuestra publicación sobre el procesamiento de archivos ZIP. Básicamente, el atacante puede extraer el archivo comprimido a cualquier ubicación, por ejemplo, la carpeta raíz del sitio web. De esta manera, el atacante puede cargar cualquier elemento, como su propia web shell.
CVE-2025-34511: vulnerabilidad en el cargador de archivos del módulo de Sitecore PowerShell Extensions
CVE-2025-34511 es una forma alternativa de poner en riesgo a Sitecore. Esta vulnerabilidad está presente en el módulo de Sitecore PowerShell Extensions, que es necesario para que funcionen varias extensiones de Sitecore; por ejemplo, Sitecore Experience Accelerator, una de las extensiones más populares de este CMS.
Básicamente, esta vulnerabilidad funciona de forma muy parecida a la CVE-2025-34510, aunque es un poco más sencilla. La extensión de Sitecore PowerShell también tiene su propio mecanismo de carga de archivos, que puede ser aprovechado por un usuario autenticado. Mediante solicitudes HTTP, un atacante puede cargar cualquier archivo con cualquier extensión en el CMS y guardarlo en cualquier directorio del sitio web. Esto significa que no es necesario preparar un archivo comprimido ZIP personalizado y una ruta, y el resultado es básicamente el mismo: una carga de web shell.
Cómo protegerte contra los ataques a Sitecore Experience Platform
Los parches para estas tres vulnerabilidades se lanzaron en mayo de 2025. Si tu empresa utiliza Sitecore, especialmente en combinación con Sitecore PowerShell Extensions, te recomendamos que actualices el CMS lo antes posible. Según las descripciones del NIST, CVE-2025-34509 afecta a las versiones 10.1 a 10.1.4 rev. 011974 PRE de Sitecore Experience Manager y Experience Platform; a todas las variantes de 10.2; 10.3 a 10.3.3 rev. 011967 PRE; y 10.4 a 10.4.1 rev. 011941 PRE. CVE-2025-34510 está presente en las versiones 9.0 a 9.3 y 10.0 a 10.4 de Experience Manager, Experience Platform y Experience Commerce. Por último, CVE-2025-34511 afecta a todas las versiones de Sitecore PowerShell Extensions hasta la versión 7.0.
Los investigadores que descubrieron estos defectos afirman tener conocimiento de otras cuatro vulnerabilidades mucho más interesantes. Sin embargo, como los parches aún no están listos, han dicho que revelarán estas vulnerabilidades más adelante. Por eso, te recomendamos que te mantengas al tanto de las próximas actualizaciones de los desarrolladores de Sitecore.
