Sécurité de niveau « B » : trois vulnérabilités dans le CMS Sitecore

Des chercheurs ont découvert trois vulnérabilités dans le célèbre système de gestion de contenu Sitecore Experience Platform.

• CVE-2025-34509 implique un mot de passe codé en dur (composé d’une seule lettre) qui permet à un pirate informatique de se connecter à distance en tant que compte de service.
• CVE-2025-34510 est une vulnérabilité Zip Slip permettant à un utilisateur authentifié de charger et d’extraire une archive ZIP à la racine du site Internet.
• CVE-2025-34511 permet également aux utilisateurs de charger des fichiers externes sur le site, mais cette fois sans aucune restriction.

En combinant la première vulnérabilité avec l’une ou l’autre des deux dernières, un attaquant peut exécuter du code à distance (RCE) sur un serveur exécutant Sitecore Experience Platform.

Il n’y a actuellement aucune preuve que ces vulnérabilités soient exploitées ouvertement. Cependant, l’analyse détaillée publiée par watchTowr contient suffisamment d’informations pour que les acteurs de la menace puissent les exploiter à tout moment.

CVE-2025-34509 : accès via un compte prédéfini

Le CMS Sitecore inclut plusieurs comptes par défaut, dont sitecore\ServicesAPI. Bien entendu, les mots de passe de tous les comptes sont stockés sous forme hachée (et même salée). Toutefois, cela ne change pas grand-chose si le mot de passe se compose uniquement de la lettre « b ». Un tel mot de passe peut être créé de force brute en trois secondes environ.

Soulignons que les développeurs de Sitecore déconseillent de modifier les comptes par défaut, avertissant que  » modifier un compte utilisateur par défaut peut avoir une incidence sur d’autres domaines du modèle de sécurité  » (quoi que cela veuille dire). Il est donc peu probable que les administrateurs de sites qui suivent les instructions officielles modifient ces mots de passe. Par conséquent, de tels comptes par défaut sont probablement présents dans la plupart des sites Internet utilisant ce CMS.

Cela dit, l’utilisateur sitecore\ServicesAPI n’a pas de droits ni de rôles attribués, si bien qu’une simple authentification via l’interface d’identification standard de Sitecore n’est pas possible. Cependant, les chercheurs ont trouvé un moyen de contourner la vérification de la base de données requise pour une authentification réussie (pour en savoir plus, consultez la recherche d’origine). Le pirate informatique récupère ainsi un cookie de session valide. Il ne dispose toujours pas de privilèges d’administrateur, mais ce cookie peut être utilisé pour d’autres attaques.

CVE-2025-34510 : vulnérabilité dans le chargeur de fichiers de Sitecore

Sitecore dispose d’un mécanisme de chargement de fichiers que tout utilisateur authentifié peut utiliser. Ainsi, à l’aide d’un cookie de session valide, un pirate informatique peut créer une requête HTTP pour importer et extraire automatiquement une archive ZIP. Essentiellement, la vulnérabilité CVE-2025-34510 repose sur le fait qu’en raison d’une mauvaise vérification des données d’entrée, un pirate authentifié peut effectuer une traversée de chemin. Pour en savoir plus sur ce type de vulnérabilités, connu sous le nom de Zip Slip, consultez notre article consacré au traitement des fichiers ZIP. Essentiellement, le pirate peut extraire l’archive à n’importe quel endroit, par exemple, le dossier racine du site Internet. De cette façon, le pirate informatique peut charger tout ce qu’il veut, par exemple son propre code encoquillé.

CVE-2025-34511 : vulnérabilité dans le chargeur de fichiers du module Sitecore PowerShell Extensions

La vulnérabilité CVE-2025-34511 est une alternative pour compromettre Sitecore. Cette vulnérabilité est présente dans le module Sitecore PowerShell Extensions, qui est nécessaire au fonctionnement d’un certain nombre d’extensions Sitecore, par exemple, Sitecore Experience Accelerator, l’une des extensions les plus populaires de ce CMS.

Essentiellement, cette vulnérabilité fonctionne de la même manière que la vulnérabilité CVE-2025-34510, mais de manière légèrement plus simple. L’extension Sitecore PowerShell dispose également de son propre mécanisme de chargement de fichiers, qui peut être exploité par un utilisateur authentifié. Par le biais de requêtes HTTP, un pirate peut charger n’importe quel fichier avec n’importe quelle extension vers le CMS et l’enregistrer dans n’importe quel répertoire du site Internet. Cela signifie qu’il n’est pas nécessaire de préparer une archive ZIP et un chemin d’accès personnalisés, et que le résultat est fondamentalement le même : le chargement d’un code encoquillé.

Comment se protéger contre les attaques sur Sitecore Experience Platform

Des correctifs pour ces trois vulnérabilités ont été publiés en mai 2025. Si votre entreprise utilise Sitecore, notamment en combinaison avec le module Sitecore PowerShell Extensions, nous vous recommandons de mettre à jour le CMS dès que possible. Selon les descriptions du NIST, la vulnérabilité CVE-2025-34509 concerne les versions 10.1 à 10.1.4 rev. 011974 PRE de Sitecore Experience Manager et Experience Platform ; toutes les variantes des versions 10.2 ; 10.3 à 10.3.3 rev. 011967 PRE ; et 10.4 à 10.4.1 rev. 011941 PRE. La vulnérabilité CVE-2025-34510 est présente dans les versions 9.0 à 9.3 et 10.0 à 10.4 d’Experience Manager, d’Experience Platform et d’Experience Commerce. Enfin, la vulnérabilité CVE-2025-34511 touche toutes les versions de Sitecore PowerShell Extensions jusqu’à la version 7.0.

Les chercheurs qui ont découvert ces failles affirment être au courant de quatre autres vulnérabilités bien plus intéressantes. Toutefois, comme les correctifs ne sont pas encore prêts, ils ont annoncé qu’ils divulgueraient ces vulnérabilités ultérieurement. Nous vous recommandons donc de garder un œil sur les prochaines mises à jour des développeurs de Sitecore.