Se han descubierto tres nuevas vulnerabilidades de seguridad en Sitecore Experience Platform que podrían aprovecharse para lograr la divulgación de información y la ejecución remota de código.
Los defectos, por WatchTowr Labs , se enumeran a continuación -
- CVE-2025-53693 - Envenenamiento de la caché HTML a través de reflexiones inseguras
- CVE-2025-53691 - Ejecución remota de código (RCE) mediante deserialización insegura
- CVE-2025-53694 - La divulgación de información en la API ItemService con un usuario anónimo restringido, lo que lleva a la exposición de las claves de caché mediante un enfoque de fuerza bruta
Sitecore publicó los parches para las dos primeras deficiencias en junio y por tercera vez en julio de 2025 , y la empresa afirma que «la explotación exitosa de las vulnerabilidades relacionadas podría provocar la ejecución remota de código y el acceso no autorizado a la información».
Los hallazgos se basan en tres defectos más en el mismo producto que fueron detallada de WatchTowr en junio -
- CVE-2025-34509 (Puntuación CVSS: 8.2) - Uso de credenciales codificadas
- CVE-2025-34510 (Puntuación CVSS: 8,8): ejecución remota de código posterior a la autenticación mediante recorrido de rutas
- CVE-2025-34511 (puntuación CVSS: 8,8): ejecución remota de código posterior a la autenticación mediante Sitecore PowerShell Extension
El investigador de WatchTowr Labs, Piotr Bazydlo, afirmó que los errores descubiertos recientemente podrían convertirse en una cadena de exploits al combinar la vulnerabilidad de envenenamiento de la caché HTML previa a la autenticación con un problema de ejecución remota de código posterior a la autenticación, lo que pondría en peligro una instancia de Sitecore Experience Platform completamente parcheada.
La secuencia completa de eventos que conducen a la ejecución del código es la siguiente: un actor de amenazas podría aprovechar la API ItemService, si se le expone, para enumerar trivialmente las claves de caché HTML almacenadas en la caché de Sitecore y enviar solicitudes de envenenamiento de la caché HTTP a esas claves.
Luego, esto podría encadenarse con el CVE-2025-53691 para proporcionar código HTML malintencionado que, en última instancia, resulta en la ejecución del código mediante un método sin restricciones Formateador binario llamada.
«Hemos conseguido abusar de una ruta de reflexión muy restringida para invocar un método que nos permite envenenar cualquier clave de caché HTML», afirma Bazydlo. «Esa primitiva única abrió la puerta al secuestro de páginas de Sitecore Experience Platform y, a partir de ahí, a eliminar JavaScript arbitrario para activar una vulnerabilidad de RCE posterior a la autenticación».