La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) ha agregado oficialmente dos importantes vulnerabilidades de Sitecore CMS a su catálogo de vulnerabilidades explotadas (KEV) conocidas, citando evidencia de explotación activa en la naturaleza.
Ambas vulnerabilidades, CVE-2019-9874 y CVE-2019-9875, pueden afectar el módulo Sitecore.security.anticsRF.
Detalles e impacto de vulnerabilidades críticas
CVE-2019-9874 con una puntuación CVSS de 9.8 representa un riesgo de seguridad grave ya que los atacantes no identificados pueden aprovechar las vulnerabilidades necesarias para eliminar para lograr la ejecución del código remoto.
El exploit se centra en manipular el parámetro post __csrftoken HTTP al inyectar objetos .NET serializados maliciosos.
La segunda vulnerabilidad, CVE-2019-9875 (CVSS 8.8), afecta el mismo módulo, pero requiere autenticación. Si bien esto representa una barrera de entrada más alta, la simplicidad y el impacto potencial del ataque sigue siendo importante.
Una vez iniciado sesión, el actor de amenaza puede armarse el mismo vector de desintervención y secuestrar el servidor.
“La vulnerabilidad de desemberco ocurre antes de ejecutar la lógica de la aplicación, lo que permite a los atacantes evitar los controles de seguridad por completo”.
Utilizando herramientas como YSoserial.net, los atacantes pueden codificar cargas útiles que ejecutan comandos de PowerShell para establecer capas remotas e implementar malware sin activar las alarmas de seguridad típicas.
Las vulnerabilidades se resumen de la siguiente manera:
Factores de riesgo CVE-2019-9874CVE-2019-987555CMESSITECore CMS 7.0–7.2 y XP 7.5–8.2SiTecore Versiones hasta 9.1.0 5.5–8.2SITECore Código de código EjecutssCpLOIT PrerequisutThitesutThitthIntIntiveCescessAuthAuthcedccedcccedcccedCvEdEd Code ExecutionExPloit PrerequisutthitesutThitthIntIntiveCessAuthAuthAuthcedccedcccedCvsScVSSCVSSCVSSCLOIT
Estas vulnerabilidades afectan múltiples versiones del software Sitecore.
CVE-2019-9874 Impact Sitecore CMS 7.0–7.2 y XP 7.5–8.2 CVE-2019-9875 afecta a versiones de Sitecore hasta 9.1.0
CISA requiere que todas las agencias de la División Federal de Control de Control privada (FCEB) apliquen parches disponibles antes del 16 de abril de 2025. El 26 de marzo de 2025, la vulnerabilidad se agregó al catálogo de KEV, lo que indica una situación de explotación agresiva.
Medidas de mitigación
Sitecore lanzó correcciones poco después de que estas vulnerabilidades se descubrieron por primera vez en 2019, pero muchas organizaciones permanecen a continuación. Las opciones de mitigación son:
Para versiones anteriores a 9.0, HotFix está disponible en Sitecore KB Artículo 334035 con la versión 9.0 y superior. Actualización a Sitecore9.1Update-1 resuelve el problema.
Las organizaciones que no son aplicables de inmediato pueden implementar soluciones temporales al negar el acceso a la carpeta \ Sitio web \ Sitecore \ Shell en todas las instancias de Sitecore, o implementando restricciones basadas en IP restringiendo el acceso a direcciones de confianza.
“Las organizaciones deben usar catálogos de KEV como aportes de su marco de priorización de gestión de vulnerabilidades”, aconseja CISA.
El renacimiento de estas vulnerabilidades de seis años destaca la naturaleza persistente de las amenazas de seguridad, incluso para problemas revelados y parcheados previamente.
Los expertos en seguridad recomiendan que revise rápidamente las implementaciones de Sitecore y tome las medidas apropiadas para mitigar estas vulnerabilidades explotadas agresivamente.
Investigue enlaces maliciosos del mundo real y ataques de phishing con búsqueda de inteligencia de amenazas: pruébelo gratis
