{"id":22920,"date":"2025-07-03T16:51:23","date_gmt":"2025-07-03T14:51:23","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=22920"},"modified":"2025-07-03T16:54:19","modified_gmt":"2025-07-03T14:54:19","slug":"vulnerabilities-sitecore-experience-platform","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/vulnerabilities-sitecore-experience-platform\/22920\/","title":{"rendered":"S\u00e9curit\u00e9 de niveau &laquo;&nbsp;B&nbsp;&raquo; : trois vuln\u00e9rabilit\u00e9s dans le CMS Sitecore"},"content":{"rendered":"<p>Des chercheurs ont <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/sitecore-cms-exploit-chain-starts-with-hardcoded-b-password\/\" target=\"_blank\" rel=\"noopener nofollow\">d\u00e9couvert<\/a> trois vuln\u00e9rabilit\u00e9s dans le c\u00e9l\u00e8bre syst\u00e8me de gestion de contenu Sitecore Experience Platform.<\/p>\n<ul>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-34509\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2025-34509<\/a> implique un mot de passe cod\u00e9 en dur (compos\u00e9 d\u2019une seule lettre) qui permet \u00e0 un pirate informatique de se connecter \u00e0 distance en tant que compte de service.<\/li>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-34510\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2025-34510<\/a> est une vuln\u00e9rabilit\u00e9 Zip Slip permettant \u00e0 un utilisateur authentifi\u00e9 de charger et d\u2019extraire une archive ZIP \u00e0 la racine du site Internet.<\/li>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-34511\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2025-34511<\/a> permet \u00e9galement aux utilisateurs de charger des fichiers externes sur le site, mais cette fois sans aucune restriction.<\/li>\n<\/ul>\n<p>En combinant la premi\u00e8re vuln\u00e9rabilit\u00e9 avec l\u2019une ou l\u2019autre des deux derni\u00e8res, un attaquant peut ex\u00e9cuter du code \u00e0 distance (RCE) sur un serveur ex\u00e9cutant Sitecore Experience Platform.<\/p>\n<p>Il n\u2019y a actuellement aucune preuve que ces vuln\u00e9rabilit\u00e9s soient exploit\u00e9es ouvertement. Cependant, l\u2019<a href=\"https:\/\/labs.watchtowr.com\/is-b-for-backdoor-pre-auth-rce-chain-in-sitecore-experience-platform\/\" target=\"_blank\" rel=\"noopener nofollow\">analyse<\/a> d\u00e9taill\u00e9e publi\u00e9e par watchTowr contient suffisamment d\u2019informations pour que les acteurs de la menace puissent les exploiter \u00e0 tout moment.<\/p>\n<h2>CVE-2025-34509\u00a0: acc\u00e8s via un compte pr\u00e9d\u00e9fini<\/h2>\n<p>Le CMS Sitecore inclut plusieurs comptes par d\u00e9faut, dont sitecore\\ServicesAPI. Bien entendu, les mots de passe de tous les comptes sont stock\u00e9s sous forme hach\u00e9e (et m\u00eame <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/salt\/\" target=\"_blank\" rel=\"noopener\">sal\u00e9e<\/a>). Toutefois, cela ne change pas grand-chose si le mot de passe se compose uniquement de la lettre \u00ab\u00a0b\u00a0\u00bb. Un tel mot de passe peut \u00eatre cr\u00e9\u00e9 de force brute en trois secondes environ.<\/p>\n<p>Soulignons que les d\u00e9veloppeurs de Sitecore <a href=\"https:\/\/doc.sitecore.com\/xp\/en\/developers\/latest\/platform-administration-and-architecture\/the-user-accounts.html\" target=\"_blank\" rel=\"noopener nofollow\">d\u00e9conseillent de modifier les comptes par d\u00e9faut<\/a>, avertissant que \u00a0\u00bb\u00a0modifier un compte utilisateur par d\u00e9faut peut avoir une incidence sur d\u2019autres domaines du mod\u00e8le de s\u00e9curit\u00e9\u00a0\u00a0\u00bb (quoi que cela veuille dire). Il est donc peu probable que les administrateurs de sites qui suivent les instructions officielles modifient ces mots de passe. Par cons\u00e9quent, de tels comptes par d\u00e9faut sont probablement pr\u00e9sents dans la plupart des sites Internet utilisant ce CMS.<\/p>\n<p>Cela dit, l\u2019utilisateur sitecore\\ServicesAPI n\u2019a pas de droits ni de r\u00f4les attribu\u00e9s, si bien qu\u2019une simple authentification via l\u2019interface d\u2019identification standard de Sitecore n\u2019est pas possible. Cependant, les chercheurs ont trouv\u00e9 un moyen de contourner la v\u00e9rification de la base de donn\u00e9es requise pour une authentification r\u00e9ussie (pour en savoir plus, consultez la <a href=\"https:\/\/labs.watchtowr.com\/is-b-for-backdoor-pre-auth-rce-chain-in-sitecore-experience-platform\/\" target=\"_blank\" rel=\"noopener nofollow\">recherche<\/a> d\u2019origine). Le pirate informatique r\u00e9cup\u00e8re ainsi un cookie de session valide. Il ne dispose toujours pas de privil\u00e8ges d\u2019administrateur, mais ce cookie peut \u00eatre utilis\u00e9 pour d\u2019autres attaques.<\/p>\n<h2>CVE-2025-34510\u00a0: vuln\u00e9rabilit\u00e9 dans le chargeur de fichiers de Sitecore<\/h2>\n<p>Sitecore dispose d\u2019un m\u00e9canisme de chargement de fichiers que tout utilisateur authentifi\u00e9 peut utiliser. Ainsi, \u00e0 l\u2019aide d\u2019un cookie de session valide, un pirate informatique peut cr\u00e9er une requ\u00eate HTTP pour importer et extraire automatiquement une archive ZIP. Essentiellement, la vuln\u00e9rabilit\u00e9 CVE-2025-34510 repose sur le fait qu\u2019en raison d\u2019une mauvaise v\u00e9rification des donn\u00e9es d\u2019entr\u00e9e, un pirate authentifi\u00e9 peut effectuer une travers\u00e9e de chemin. Pour en savoir plus sur ce type de vuln\u00e9rabilit\u00e9s, connu sous le nom de Zip Slip, consultez notre <a href=\"https:\/\/www.kaspersky.com\/blog\/archive-and-disk-image-threats-and-security-policies\/53295\/\" target=\"_blank\" rel=\"noopener nofollow\">article consacr\u00e9 au traitement des fichiers ZIP<\/a>. Essentiellement, le pirate peut extraire l\u2019archive \u00e0 n\u2019importe quel endroit, par exemple, le dossier racine du site Internet. De cette fa\u00e7on, le pirate informatique peut charger tout ce qu\u2019il veut, par exemple son propre <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/web-shell\/\" target=\"_blank\" rel=\"noopener\">code encoquill\u00e9<\/a>.<\/p>\n<h2>CVE-2025-34511\u00a0: vuln\u00e9rabilit\u00e9 dans le chargeur de fichiers du module Sitecore PowerShell Extensions<\/h2>\n<p>La vuln\u00e9rabilit\u00e9 CVE-2025-34511 est une alternative pour compromettre Sitecore. Cette vuln\u00e9rabilit\u00e9 est pr\u00e9sente dans le module Sitecore PowerShell Extensions, qui est n\u00e9cessaire au fonctionnement d\u2019un certain nombre d\u2019extensions Sitecore, par exemple, Sitecore Experience Accelerator, l\u2019une des extensions les plus populaires de ce CMS.<\/p>\n<p>Essentiellement, cette vuln\u00e9rabilit\u00e9 fonctionne de la m\u00eame mani\u00e8re que la vuln\u00e9rabilit\u00e9 CVE-2025-34510, mais de mani\u00e8re l\u00e9g\u00e8rement plus simple. L\u2019extension Sitecore PowerShell dispose \u00e9galement de son propre m\u00e9canisme de chargement de fichiers, qui peut \u00eatre exploit\u00e9 par un utilisateur authentifi\u00e9. Par le biais de requ\u00eates HTTP, un pirate peut charger n\u2019importe quel fichier avec n\u2019importe quelle extension vers le CMS et l\u2019enregistrer dans n\u2019importe quel r\u00e9pertoire du site Internet. Cela signifie qu\u2019il n\u2019est pas n\u00e9cessaire de pr\u00e9parer une archive ZIP et un chemin d\u2019acc\u00e8s personnalis\u00e9s, et que le r\u00e9sultat est fondamentalement le m\u00eame\u00a0: le chargement d\u2019un code encoquill\u00e9.<\/p>\n<h2>Comment se prot\u00e9ger contre les attaques sur Sitecore Experience Platform<\/h2>\n<p>Des correctifs pour ces trois vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 publi\u00e9s en mai\u00a02025. Si votre entreprise utilise Sitecore, notamment en combinaison avec le module Sitecore PowerShell Extensions, nous vous recommandons de mettre \u00e0 jour le CMS d\u00e8s que possible. Selon les descriptions du NIST, la vuln\u00e9rabilit\u00e9 CVE-2025-34509 concerne les versions\u00a010.1 \u00e0 10.1.4 rev. 011974 PRE de Sitecore Experience Manager et Experience Platform\u00a0; toutes les variantes des versions\u00a010.2\u00a0; 10.3 \u00e0 10.3.3 rev. 011967 PRE\u00a0; et 10.4 \u00e0 10.4.1 rev. 011941 PRE. La vuln\u00e9rabilit\u00e9 CVE-2025-34510 est pr\u00e9sente dans les versions\u00a09.0 \u00e0 9.3 et 10.0 \u00e0 10.4 d\u2019Experience Manager, d\u2019Experience Platform et d\u2019Experience Commerce. Enfin, la vuln\u00e9rabilit\u00e9 CVE-2025-34511 touche toutes les versions de Sitecore PowerShell Extensions jusqu\u2019\u00e0 la version\u00a07.0.<\/p>\n<p>Les chercheurs qui ont d\u00e9couvert ces failles affirment \u00eatre au courant de quatre autres vuln\u00e9rabilit\u00e9s bien plus int\u00e9ressantes. Toutefois, comme les correctifs ne sont pas encore pr\u00eats, ils ont annonc\u00e9 qu\u2019ils divulgueraient ces vuln\u00e9rabilit\u00e9s ult\u00e9rieurement. Nous vous recommandons donc de garder un \u0153il sur les prochaines mises \u00e0 jour des d\u00e9veloppeurs de Sitecore.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kaspersky-next\">\n","protected":false},"excerpt":{"rendered":"<p>Des chercheurs ont d\u00e9couvert plusieurs vuln\u00e9rabilit\u00e9s dans la plateforme CMS Sitecore qui permettent une ex\u00e9cution de code \u00e0 distance non authentifi\u00e9e (RCE).<\/p>\n","protected":false},"author":2726,"featured_media":22921,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150,3151],"tags":[3474,136,204,205,3854,914,2647,322],"class_list":{"0":"post-22920","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-cms","11":"tag-entreprise","12":"tag-menaces","13":"tag-mots-de-passe","14":"tag-rce","15":"tag-risques","16":"tag-sites-internet","17":"tag-vulnerabilites"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/vulnerabilities-sitecore-experience-platform\/22920\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/vulnerabilities-sitecore-experience-platform\/28979\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/vulnerabilities-sitecore-experience-platform\/24209\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/vulnerabilities-sitecore-experience-platform\/29090\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/vulnerabilities-sitecore-experience-platform\/28274\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/vulnerabilities-sitecore-experience-platform\/31096\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/vulnerabilities-sitecore-experience-platform\/39950\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/vulnerabilities-sitecore-experience-platform\/13501\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/vulnerabilities-sitecore-experience-platform\/53683\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/vulnerabilities-sitecore-experience-platform\/32365\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/vulnerabilities-sitecore-experience-platform\/29308\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/vulnerabilities-sitecore-experience-platform\/35017\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/vulnerabilities-sitecore-experience-platform\/34656\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/vulnerabilites\/","name":"Vuln\u00e9rabilit\u00e9s"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/22920","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2726"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=22920"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/22920\/revisions"}],"predecessor-version":[{"id":22924,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/22920\/revisions\/22924"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/22921"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=22920"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=22920"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=22920"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}