Se han revelado tres nuevas vulnerabilidades de seguridad en la plataforma de experiencia Sitecore que podrían explotarse para lograr la divulgación de información y la ejecución de código remoto.
Los defectos, según WatchToWr Labs, se enumeran a continuación –
- CVE-2025-53693 – HTML Cache Envenenamiento a través de reflexiones inseguras
- CVE-2025-53691 – Ejecución de código remoto (RCE) a través de la deserialización insegura
- CVE-2025-53694 – Divulgación de información en la API del servicio de elementos con un usuario anónimo restringido, lo que lleva a la exposición de las claves de caché utilizando un enfoque de fuerza bruta
Sitecore publicó parches para los dos primeros deficiencias en junio y para el tercero de julio de 2025, y la compañía afirma que «la explotación exitosa de las vulnerabilidades relacionadas podría conducir a la ejecución de código remoto y el acceso no autorizado a la información».
Los hallazgos se basan en tres defectos más en el mismo producto que WatchToWr detalló en junio –
- CVE-2025-34509 (Puntuación CVSS: 8.2) – Uso de credenciales codificadas
- CVE-2025-34510 (Puntuación CVSS: 8.8) – Ejecución de código remoto post -autenticado a través de Path Traversal
- CVE-2025-34511 (Puntuación de CVSS: 8.8) – Ejecución de código remoto post -autenticado a través de Sitecore PowerShell Extension
El investigador de WatchToWr Labs, Piotr Bazydlo, dijo que los insectos recién descubiertos podrían diseñarse en una cadena de exploit al reunir la vulnerabilidad de envenenamiento de caché previo a la autorrena con un problema de ejecución de código remoto post-autenticado para comprometer una instancia de plataforma de experiencia Sitecore totalmente parchada.
Toda la secuencia de eventos que conducen a la ejecución del código es la siguiente: un actor de amenaza podría aprovechar la API del servicio de elementos, si se expone, para enumerar trivialmente las claves de caché HTML almacenadas en el caché Sitecore y enviar solicitudes de envenenamiento de caché HTTP a esas claves.
Esto podría estar encadenado con CVE-2025-53691 para proporcionar un código HTML malicioso que finalmente resulta en la ejecución del código mediante una llamada de información binaria sin restricciones.
«Nos las arreglamos para abusar de una ruta de reflexión muy restringida para llamar a un método que nos permite envenenar cualquier clave de caché HTML», dijo Bazydlo. «Ese único primitivo abrió la puerta para secuestrar páginas de plataforma de experiencia Sitecore, y desde allí, dejando caer JavaScript arbitraria para activar una vulnerabilidad posterior a la Auth RCE».
