L’Agence américaine de sécurité de cybersécurité et d’infrastructure (CISA) a ajouté Deux défauts de sécurité de six ans ayant un impact sur la plate-forme de CMS et d’expérience (XP) de Sixcore CMS à ses vulnérabilités exploitées connues (Kev) Catalogue, basé sur des preuves d’exploitation active.
Les vulnérabilités sont énumérées ci-dessous –
- CVE-2019-9874 (Score CVSS: 9.8) – Une vulnérabilité de désérialisation dans le module Sitecore.Security.anticsrf qui permet à un attaquant non authentifié d’exécuter du code arbitraire en envoyant un objet .NET sérialisé dans le paramètre HTTP POST __CSRFToken
- CVE-2019-9875 (Score CVSS: 8.8) – Une vulnérabilité de désérialisation dans le module Sitecore.Security.anticsrf qui permet à un attaquant authentifié d’exécuter du code arbitraire en envoyant un objet .NET sérialisé dans le paramètre post-paramètre HTTP __CSRFTOKIN
Il n’y a actuellement aucun détail sur la façon dont les défauts sont armées dans la nature et par qui, bien que Sitecore dans une mise à jour partagée le 30 mars 2020, dit Il est devenu “conscient de l’exploitation active” de CVE-2019-9874. L’entreprise ne fait aucune mention du CVE-2019-9875 étant exploité.
À la lumière de l’exploitation active, les agences fédérales sont tenues d’appliquer les correctifs nécessaires d’ici le 16 avril 2025 pour sécuriser leurs réseaux.
Le développement intervient alors qu’Akamai a déclaré avoir observé des tentatives d’exploitation initiales en sondant des serveurs potentiels pour une faille de sécurité nouvellement divulguée ayant un impact sur le cadre Web suivant.
Une vulnérabilité de contournement d’autorisation, une exploitation réussie pourrait permettre à un attaquant de contourner les vérifications de sécurité basées sur les middleware en usurpant un en-tête appelé “X-MIDDELWOWN – SUBREQUEST” qui est utilisé pour gérer les flux de demande interne. Ceci, à son tour, pourrait permettre un accès non autorisé aux ressources d’application sensibles, Raphael Silva de CheckMarx dit.
“Parmi les charges utiles identifiées, une technique notable consiste à utiliser l’en-tête X-Middleware-Request avec la valeur SRC / Middleware: SRC / Middleware: SRC / Middleware: SRC / Middleware: SRC / Middleware”, la société d’infrastructure Web dit.
“Cette approche simule plusieurs sous-requêtes internes dans une seule demande, déclenchant la logique de redirection interne de Next.js – ressemblant étroitement à plusieurs accessibles au public Exploits de preuve de concept. “
Les divulgations suivent également un avertissement De Greynoise sur les tentatives d’exploitation actives enregistrées contre plusieurs vulnérabilités connues dans les appareils Draytek.
La firme de renseignement des menaces a déclaré qu’elle avait observé une activité dans la volonté contre les identifiants CVE ci-dessous –
- CVE-2020-8515 (Score CVSS: 9.8) – Une vulnérabilité d’injection de commande du système d’exploitation dans plusieurs modèles de routeur Draytek qui pourraient permettre l’exécution du code à distance comme racine via des métacharacteurs Shell vers le CGI-BIN / MainFonction.cgi URI
- CVE-2021-20123 (Score CVSS: 7.5) – Une vulnérabilité locale d’inclusion de fichiers dans Draytek VigorConnect qui pourrait permettre à un attaquant non authentifié de télécharger des fichiers arbitraires à partir du système d’exploitation sous-jacent avec des privilèges racine via le point de téléchargement de point de point de téléchargement.
- CVE-2021-20124 (Score CVSS: 7.5) – Une vulnérabilité d’inclusion de fichiers locale dans Draytek VigorConnect qui pourrait permettre à un attaquant non authentifié de télécharger des fichiers arbitraires à partir du système d’exploitation sous-jacent avec des privilèges racine via le point de terminaison Webservlet
L’Indonésie, Hong Kong et les États-Unis sont devenus les principaux pays de destination du trafic d’attaque pour CVE-2010-8515, tandis que la Lituanie, les États-Unis et Singapour ont été distinguées dans le cadre des attaques exploitant CVE-2021-20123 et CVE-20121-20124.



