La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) tiene agregado Dos defectos de seguridad de seis años que impactan la plataforma de experiencia y experiencia de Sitecore (XP) a sus vulnerabilidades explotadas conocidas (Kev) catálogo, basado en evidencia de explotación activa.
Las vulnerabilidades se enumeran a continuación –
- CVE-2019-9874 (Puntuación CVSS: 9.8): una vulnerabilidad de deserialización en el módulo Sitecore.security.anticsRF que permite a un atacante no autenticado ejecutar código arbitrario enviando un objeto .NET serializado en el parámetro HTTP post
- CVE-2019-9875 (Puntuación CVSS: 8.8) – Una vulnerabilidad de deserialización en el módulo de Sitecore.security.anticsrf que permite a un atacante autenticado ejecutar un código arbitrario enviando un objeto .NET serializado en el parámetro post
Actualmente no hay detalles sobre cómo se están armando los defectos en la naturaleza y por quién, aunque Sitecore en una actualización compartida el 30 de marzo de 2020, dicho Se hizo “consciente de la explotación activa” de CVE-2019-9874. La empresa No menciona de CVE-2019-9875 siendo explotado.
A la luz de la explotación activa, las agencias federales deben aplicar los parches necesarios antes del 16 de abril de 2025 para asegurar sus redes.
El desarrollo se produce cuando Akamai dijo que ha observado intentos de exploit iniciales de los servidores potenciales para una falla de seguridad recientemente revelada que impacta el siguiente marco web.JS (CVE -2025‑29927, puntaje CVSS: 9.1).
Una vulnerabilidad de autorización de autorización, una explotación exitosa podría permitir que un atacante sorte las verificaciones de seguridad basadas en el middleware al falsificar un encabezado llamado “X-Middleware-subrequest” que se utiliza para administrar los flujos de solicitudes internos. Esto, a su vez, podría permitir el acceso no autorizado a los recursos de aplicación sensibles, Raphael Silva de Checkmarx dicho.
“Entre las cargas útiles identificadas, una técnica notable implica usar el encabezado X-Middleware-Request con el valor SRC/Middleware: SRC/Middleware: SRC/Middleware: SRC/Middleware: SRC/Middleware”, la compañía de infraestructura web “, la compañía de infraestructura web dicho.
“Este enfoque simula múltiples subrequests internas dentro de una sola solicitud, lo que desencadena la lógica de redirección interna de Next.js, se asemeja mucho a varias disponibles públicamente Exploits de prueba de concepto“
Las divulgaciones también siguen un advertencia Desde Greynoise sobre los intentos de explotación activa registrados con varias vulnerabilidades conocidas en los dispositivos Draytek.
La firma de inteligencia de amenazas dijo que ha visto una actividad en el bancarrojo observada contra los siguientes identificadores CVE-
- CVE-2020-8515 (Puntuación CVSS: 9.8): una vulnerabilidad de inyección de comando del sistema operativo en múltiples modelos de enrutador Draytek que podrían permitir la ejecución del código remoto como raíz a través de metacáculos de shell a la CGI-bin/mainfunction.cgi URI
- CVE-2021-20123 (Puntuación CVSS: 7.5) – Una vulnerabilidad local de inclusión de archivos en Draytek VigorConnect que podría permitir que un atacante no autenticado descargue archivos arbitrarios del sistema operativo subyacente con privilegios raíz a través del punto final de descarga de descarga de descarga
- CVE-2021-20124 (Puntuación CVSS: 7.5) – Una vulnerabilidad local de inclusión de archivos en Draytek VigorConnect que podría permitir que un atacante no autenticado descargue archivos arbitrarios del sistema operativo subyacente con privilegios raíz a través del punto final de WebServlet
Indonesia, Hong Kong y Estados Unidos se han convertido en los principales países de destino del tráfico de ataque para CVE-2020-8515, mientras que Lituania, Estados Unidos y Singapur han sido señalados como parte de los ataques que explotan CVE-2021-20123 y CVE-2021-20124.
About the Author
