CMS and Experience Platform (XP)

Die Schwachstelle steckt im Anti-CSRF-Modul (Sitecore.Security.AntiCSRF) der Sitecore-Produkte CMS und Experience Platform (XP). Dieses Modul soll eigentlich vor gefälschten Anfragen schützen, verarbeitet aber empfangene Daten unsicher: Es wandelt ein übermitteltes .NET-Objekt zurück in eine nutzbare Form (Deserialisierung), ohne dessen Herkunft zu prüfen. Ein Angreifer kann ein eigens präpariertes, serialisiertes .NET-Objekt im HTTP-POST-Parameter __CSRFTOKEN an den Server schicken. Beim Entpacken dieses Objekts führt die Anwendung den darin enthaltenen Code aus. Auf diese Weise lässt sich beliebiger Code auf dem Server ausführen – und zwar aus der Ferne und ganz ohne Anmeldung, da das Modul jede eingehende Anfrage verarbeitet. Betroffen sind die genannten Sitecore-Plattformen, die als Content-Management- und Web-Erlebnis-System häufig öffentlich erreichbare Webauftritte ausliefern und damit ein attraktives, exponiertes Angriffsziel darstellen.