Lỗ hổng nguy hiểm của Sitecore CMS cho phép thực thi mã từ xa

[WhiteHat Team]

Chuỗi lỗ hổng trên nền tảng Sitecore Experience Platform (XP), hệ thống quản lý nội dung - CMS phổ biến, được sử dụng bởi hơn 22.000 tổ chức toàn cầu vừa được công bố. Chuỗi lỗ hổng này cho phép kẻ tấn công từ xa làm thay đổi nội dung cache, thu thập thông tin nhạy cảm và cuối cùng là thực thi mã độc, dẫn đến toàn quyền kiểm soát hệ thống, ngay cả khi đã được vá trước đó.

​

Sitecore được áp dụng rộng rãi trong nhiều ngành công nghiệp như ngân hàng, bán lẻ, du lịch… Các lỗi này ảnh hưởng đến phiên bản Sitecore XP 10.4.1 và các phiên bản tương đương của Experience Manager (XM).

Ba lỗ hổng chính được xác định:

• CVE‑2025‑53693: HTML Cache Poisoning thông qua cơ chế phản chiếu (reflection) không an toàn, kẻ tấn công có thể tiêm mã HTML độc hại vào bộ nhớ đệm (cache) của Sitecore mà không cần xác thực.
• CVE‑2025‑53694: Lộ thông tin qua ItemService API kẻ tấn công có thể liệt kê các khóa cache, cấu hình và template hệ thống, giúp tăng độ chính xác cho các cuộc tấn công cache poisoning.
• CVE‑2025‑53691: Remote Code Execution (RCE) lỗ hổng phân tích dữ liệu (deserialization) không an toàn cho phép thực thi mã từ xa khi hệ thống xử lý mã base64 độc hại embedded trong iframe.

Chuỗi tấn công diễn ra theo 3 bước:

1. Tiêm mã HTML độc hại (cache poisoning) qua phản chiếu không an toàn.
2. Lấy thông tin cấu hình hệ thống qua ItemService để định vị đúng mục tiêu cache.
3. Thực thi mã từ xa (RCE) thông qua lỗ hổng deserialization, kẻ tấn công có thể chiếm quyền điều khiển server hoàn toàn.

Độ nguy hiểm & phạm vi ảnh hưởng:

• Điểm CVSS cao: RCE được đánh giá mức 8.8 (cao), còn lộ thông tin là 7.5
• Phạm vi cực lớn: Hơn 22.000 hệ thống Sitecore bị ảnh hưởng và thời gian vá đã diễn ra từ tháng 6-7/2025
• Chuỗi tấn công cho thấy mọi hệ thống, kể cả đã vá, vẫn có thể bị tấn công nếu không được áp dụng đầy đủ biện pháp phòng ngừa.

Ảnh hưởng với người dùng & tổ chức

• Rủi ro cực kỳ nghiêm trọng: Từ việc thay đổi nội dung web, chèn mã độc, đến xâm nhập toàn diện, đánh cắp dữ liệu, thậm chí phá hoại hệ thống.
• Đối tượng bị ảnh hưởng: Các tổ chức sử dụng Sitecore XP/XM từ doanh nghiệp lớn tới các trang báo, dịch vụ tài chính, du lịch, thương mại điện tử…

Các điểm kỹ thuật cần lưu ý thêm

• Input validation yếu kém khi xử lý parameters nội bộ hiển thị qua reflection.
• Deserialization không kiểm soát cho phép chạy mã không tin cậy qua BinaryFormatter.
• API công khai giúp kẻ tấn công dễ dàng xác định mục tiêu.

Giải pháp khuyến nghị cho người dùng:

• Cập nhật vá ngay lập tức: áp dụng bản vá tháng 6-7/2025 từ Sitecore.
• Kiểm tra và giới hạn truy cập ItemService API, tránh để lộ thông tin qua mạng công khai.
• Tắt hoặc chuyển cơ chế deserialization sang phương pháp an toàn hơn, kiểm soát dữ liệu đầu vào.
• Theo dõi và giám sát hành vi bất thường, đặt cảnh báo cho các request đến cache và active content.
• Thực hiện kiểm tra không phá hủy (NDA) và kiểm thử xã hội hóa (pen-test) cho các hệ thống đã cập nhật.

Nếu bạn đang sử dụng Sitecore XP/XM, đây chính là lúc cần hành động: Vá, kiểm tra API, giám sát và đảm bảo hệ thống của bạn không trở thành mục tiêu dễ bị tấn công.

Theo Cyber Press​