Plataforma
dotnet
Componente
sitecore-experience-manager
Corregido en
9.3.1
10.4.1
9.3.1
10.4.1
9.3.1
10.4.1
La vulnerabilidad CVE-2025-34510 afecta a Sitecore Experience Manager (XM), Experience Platform (XP) y Experience Commerce (XC) en versiones desde 9.0 hasta 10.4. Esta vulnerabilidad de 'Zip Slip' permite a un atacante remoto autenticado ejecutar código arbitrario en el sistema. La explotación se logra mediante el envío de una solicitud HTTP especialmente diseñada para subir un archivo ZIP que contiene secuencias de recorrido de ruta, lo que permite la escritura de archivos y, finalmente, la ejecución de código. Se recomienda actualizar a una versión corregida lo antes posible.
La vulnerabilidad de Zip Slip en Sitecore permite a un atacante autenticado subir archivos ZIP maliciosos que contienen secuencias de recorrido de ruta. Al explotar esta vulnerabilidad, el atacante puede escribir archivos en ubicaciones arbitrarias dentro del sistema de archivos del servidor Sitecore. Esto puede llevar a la ejecución de código arbitrario, comprometiendo la confidencialidad, integridad y disponibilidad del sistema. Un atacante podría, por ejemplo, sobrescribir archivos de configuración críticos, inyectar código malicioso en archivos ejecutables o incluso tomar el control completo del servidor. La severidad de esta vulnerabilidad es alta debido a su potencial para una ejecución remota de código y la posibilidad de un impacto significativo en la infraestructura de Sitecore.
La vulnerabilidad CVE-2025-34510 fue publicada el 17 de junio de 2025. No se ha confirmado la explotación activa en entornos de producción, pero la naturaleza de la vulnerabilidad (RCE) y la disponibilidad de herramientas de explotación de Zip Slip sugieren un riesgo potencial. La puntuación CVSS de 8.8 (ALTO) indica una alta probabilidad de explotación si la vulnerabilidad no se mitiga. Se recomienda monitorear activamente los sistemas Sitecore para detectar cualquier actividad sospechosa.
Organizations heavily reliant on Sitecore Experience Manager for content management and digital experience delivery are at significant risk. This includes businesses using Sitecore for e-commerce, marketing automation, and customer relationship management. Specifically, deployments utilizing older versions (9.0-10.4) without robust file upload validation are particularly vulnerable. Shared hosting environments where multiple tenants share the same server infrastructure also face increased risk due to the potential for cross-tenant exploitation.
• .NET / Sitecore: Monitor Sitecore logs for unusual file upload activity, particularly attempts to write files outside of designated upload directories. Use PowerShell to check for unexpected files in sensitive locations.
Get-ChildItem -Path "C:\inetpub\wwwroot\sitecore\*" -Recurse -Filter "*.config"• .NET / Sitecore: Examine web server access logs for HTTP POST requests to file upload endpoints with suspicious ZIP archive filenames or content. • .NET / Sitecore: Implement Windows Defender exploit mitigation rules to detect and prevent path traversal attacks. • .NET / Sitecore: Review Sitecore configuration files for any custom file upload handlers that might be vulnerable to path traversal.
disclosure
discovery
patch
Estado del Exploit
EPSS
87.27% (99% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-34510 es actualizar a una versión de Sitecore que incluya la corrección. Si la actualización inmediata no es posible, se pueden implementar algunas medidas de mitigación temporales. Restrinja el acceso a la funcionalidad de carga de archivos solo a usuarios autorizados. Implemente una validación estricta de los archivos ZIP cargados, verificando que no contengan secuencias de recorrido de ruta. Considere el uso de un Web Application Firewall (WAF) para bloquear solicitudes HTTP maliciosas que intenten explotar la vulnerabilidad. Monitoree los registros del servidor en busca de patrones sospechosos de actividad de carga de archivos. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que los archivos ZIP con secuencias de recorrido de ruta no puedan ser cargados y que los archivos se escriban en las ubicaciones esperadas.
Actualice Sitecore Experience Manager a una versión posterior a la 10.4 que haya solucionado la vulnerabilidad Zip Slip. Consulte el artículo de la base de conocimientos de Sitecore (KB1003667) para obtener más detalles e instrucciones específicas de actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-34510 is a Remote Code Execution (RCE) vulnerability in Sitecore Experience Manager (XM), XP, and XC versions 9.0–10.4. It allows authenticated attackers to execute arbitrary code via a Zip Slip vulnerability.
If you are using Sitecore Experience Manager, XP, or XC versions 9.0 through 10.4, you are potentially affected by this vulnerability. Assess your environment and upgrade as soon as possible.
The recommended fix is to upgrade to a patched version of Sitecore Experience Manager, XP, or XC. Refer to the official Sitecore advisory for details on available patches.
While active exploitation is not yet confirmed, the vulnerability's severity and ease of exploitation suggest a high probability of exploitation. Monitor security advisories and threat intelligence feeds.
Refer to the official Sitecore security advisory for detailed information and mitigation guidance: [https://www.sitecore.com/security/advisories](https://www.sitecore.com/security/advisories)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo packages.lock.json y te decimos al instante si estás afectado.