Plateforme
dotnet
Composant
sitecore-experience-manager
Corrigé dans
9.3.1
10.4.1
9.3.1
10.4.1
9.3.1
10.4.1
Une vulnérabilité d'exécution de code à distance (RCE) a été découverte dans Sitecore Experience Manager (XM), Experience Platform (XP) et Experience Commerce (XC). Cette faille, connue sous le nom de Zip Slip, permet à un attaquant authentifié de compromettre le système en téléchargeant un fichier ZIP malveillant contenant des séquences de traversal de chemin. Les versions affectées sont les versions 9.0 à 9.3 et 10.0 à 10.4. La correction consiste à mettre à jour vers une version corrigée.
L'exploitation réussie de cette vulnérabilité permet à un attaquant authentifié d'écrire des fichiers arbitraires sur le serveur Sitecore. En manipulant le contenu d'un fichier ZIP téléchargé, l'attaquant peut contourner les contrôles de sécurité et injecter du code malveillant. Ce code peut ensuite être exécuté, permettant à l'attaquant de prendre le contrôle du serveur, d'exfiltrer des données sensibles, ou de compromettre d'autres systèmes connectés. Le risque est particulièrement élevé si le serveur Sitecore est exposé à Internet ou s'il est utilisé pour stocker des informations confidentielles. Cette vulnérabilité présente des similitudes avec d'autres failles de traversal de chemin, où la manipulation des noms de fichiers permet de contourner les restrictions d'accès.
Cette vulnérabilité a été rendue publique le 17 juin 2025. La probabilité d'exploitation est considérée comme moyenne, en raison de la nécessité d'une authentification préalable. Il n'y a pas d'indication d'une exploitation active à grande échelle à ce jour. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour toute nouvelle information ou preuve d'exploitation.
Organizations heavily reliant on Sitecore Experience Manager for content management and digital experience delivery are at significant risk. This includes businesses using Sitecore for e-commerce, marketing automation, and customer relationship management. Specifically, deployments utilizing older versions (9.0-10.4) without robust file upload validation are particularly vulnerable. Shared hosting environments where multiple tenants share the same server infrastructure also face increased risk due to the potential for cross-tenant exploitation.
• .NET / Sitecore: Monitor Sitecore logs for unusual file upload activity, particularly attempts to write files outside of designated upload directories. Use PowerShell to check for unexpected files in sensitive locations.
Get-ChildItem -Path "C:\inetpub\wwwroot\sitecore\*" -Recurse -Filter "*.config"• .NET / Sitecore: Examine web server access logs for HTTP POST requests to file upload endpoints with suspicious ZIP archive filenames or content. • .NET / Sitecore: Implement Windows Defender exploit mitigation rules to detect and prevent path traversal attacks. • .NET / Sitecore: Review Sitecore configuration files for any custom file upload handlers that might be vulnerable to path traversal.
disclosure
discovery
patch
Statut de l'Exploit
EPSS
87.27% (percentile 99%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Sitecore Experience Manager vers une version corrigée dès que possible. En attendant la mise à jour, plusieurs mesures d'atténuation peuvent être mises en œuvre. Il est crucial de désactiver temporairement la fonctionnalité de téléchargement de fichiers ZIP si elle n'est pas essentielle. La configuration d'un Web Application Firewall (WAF) pour bloquer les requêtes contenant des séquences de traversal de chemin (par exemple, '..') peut également aider à réduire le risque. De plus, il est recommandé de renforcer les contrôles d'accès aux répertoires de téléchargement et de surveiller attentivement les journaux d'accès pour détecter toute activité suspecte. Après la mise à jour, vérifiez l'intégrité des fichiers système et effectuez un audit de sécurité complet.
Actualice Sitecore Experience Manager a una versión posterior a la 10.4 que haya solucionado la vulnerabilidad Zip Slip. Consulte el artículo de la base de conocimientos de Sitecore (KB1003667) para obtener más detalles e instrucciones específicas de actualización.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-34510 is a Remote Code Execution (RCE) vulnerability in Sitecore Experience Manager (XM), XP, and XC versions 9.0–10.4. It allows authenticated attackers to execute arbitrary code via a Zip Slip vulnerability.
If you are using Sitecore Experience Manager, XP, or XC versions 9.0 through 10.4, you are potentially affected by this vulnerability. Assess your environment and upgrade as soon as possible.
The recommended fix is to upgrade to a patched version of Sitecore Experience Manager, XP, or XC. Refer to the official Sitecore advisory for details on available patches.
While active exploitation is not yet confirmed, the vulnerability's severity and ease of exploitation suggest a high probability of exploitation. Monitor security advisories and threat intelligence feeds.
Refer to the official Sitecore security advisory for detailed information and mitigation guidance: [https://www.sitecore.com/security/advisories](https://www.sitecore.com/security/advisories)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier packages.lock.json et nous te dirons instantanément si tu es affecté.