Multiple Products

Die Schwachstelle betrifft mehrere Produkte von Sitecore, darunter den Experience Manager (XM) und die Experience Platform (XP) sowie weitere Lösungen des Herstellers. Ursache ist die unsichere Deserialisierung nicht vertrauenswürdiger Daten in Verbindung mit der Verwendung vorgegebener, standardmäßig ausgelieferter ASP.NET-Maschinenschlüssel (Machine Keys). Sind diese Schlüssel bekannt oder offengelegt, kann ein Angreifer manipulierte, scheinbar gültig signierte Daten an die Anwendung senden. Beim Verarbeiten dieser Daten werden die enthaltenen Objekte unkontrolliert wieder eingelesen, wodurch sich Schadcode einschleusen lässt. Im Ergebnis kann ein Angreifer aus der Ferne eigenen Code auf dem Server ausführen (Remote Code Execution) und so die Kontrolle über das betroffene System übernehmen. Da es sich um weit verbreitete Content-Management- und Digital-Experience-Software handelt, die häufig öffentlich aus dem Internet erreichbar ist, bietet die Lücke einen direkten und besonders exponierten Angriffsweg auf zentrale Webanwendungen.