平台
dotnet
组件
sitecore-experience-manager
修复版本
9.3.1
10.4.1
9.3.1
10.4.1
9.3.1
10.4.1
CVE-2025-34510 是 Sitecore Experience Manager (XM), Experience Platform (XP), 和 Experience Commerce (XC) 中发现的远程代码执行 (RCE) 漏洞。此漏洞允许经过身份验证的攻击者通过上传精心构造的 ZIP 压缩包来在受影响的系统上执行任意代码。受影响的版本包括 Sitecore Experience Manager 9.0 到 10.4。建议尽快升级至修复版本以消除此风险。
该漏洞的潜在影响非常严重。攻击者可以利用此漏洞在 Sitecore 服务器上上传并执行恶意代码,从而完全控制系统。这可能导致数据泄露、系统破坏、甚至整个基础设施的瘫痪。攻击者可以利用此漏洞访问敏感数据,例如用户凭据、商业机密和客户信息。此外,攻击者还可以利用此漏洞作为跳板,进行横向移动,攻击网络中的其他系统。由于 Sitecore Experience Manager 通常用于处理关键业务流程和敏感数据,因此此漏洞的潜在影响范围非常广泛。
目前尚无公开的漏洞利用程序 (PoC),但由于该漏洞的严重性和易利用性,预计未来可能会出现。该漏洞已添加到 CISA KEV 目录中,表明其具有较高的利用概率。建议密切关注安全社区的动态,并及时采取措施。
Organizations heavily reliant on Sitecore Experience Manager for content management and digital experience delivery are at significant risk. This includes businesses using Sitecore for e-commerce, marketing automation, and customer relationship management. Specifically, deployments utilizing older versions (9.0-10.4) without robust file upload validation are particularly vulnerable. Shared hosting environments where multiple tenants share the same server infrastructure also face increased risk due to the potential for cross-tenant exploitation.
• .NET / Sitecore: Monitor Sitecore logs for unusual file upload activity, particularly attempts to write files outside of designated upload directories. Use PowerShell to check for unexpected files in sensitive locations.
Get-ChildItem -Path "C:\inetpub\wwwroot\sitecore\*" -Recurse -Filter "*.config"• .NET / Sitecore: Examine web server access logs for HTTP POST requests to file upload endpoints with suspicious ZIP archive filenames or content. • .NET / Sitecore: Implement Windows Defender exploit mitigation rules to detect and prevent path traversal attacks. • .NET / Sitecore: Review Sitecore configuration files for any custom file upload handlers that might be vulnerable to path traversal.
disclosure
discovery
patch
漏洞利用状态
EPSS
87.27% (99% 百分位)
CISA SSVC
CVSS 向量
为了减轻 CVE-2025-34510 的风险,建议尽快升级至 Sitecore 官方发布的修复版本。如果无法立即升级,可以考虑以下缓解措施:限制上传文件的类型和大小,严格控制用户权限,并实施输入验证以防止路径遍历攻击。此外,可以配置 Web 应用防火墙 (WAF) 以检测和阻止恶意上传请求。监控 Sitecore 服务器的日志文件,查找可疑活动,例如未经授权的文件写入。升级后,请验证修复是否成功,例如通过尝试上传包含路径遍历序列的 ZIP 压缩包来测试。
Actualice Sitecore Experience Manager a una versión posterior a la 10.4 que haya solucionado la vulnerabilidad Zip Slip. Consulte el artículo de la base de conocimientos de Sitecore (KB1003667) para obtener más detalles e instrucciones específicas de actualización.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-34510 是 Sitecore Experience Manager 9.0-10.4 版本中发现的远程代码执行漏洞,允许攻击者通过上传恶意 ZIP 文件执行代码。
如果您正在使用 Sitecore Experience Manager 9.0 到 10.4 版本,则可能受到此漏洞的影响。请立即检查您的版本并采取相应的措施。
建议尽快升级至 Sitecore 官方发布的修复版本。如果无法立即升级,请参考缓解措施,例如限制文件上传和加强权限控制。
目前尚无公开的漏洞利用程序,但由于漏洞的严重性,预计未来可能会出现。建议密切关注安全动态。
请访问 Sitecore 官方安全公告页面,查找有关 CVE-2025-34510 的详细信息和修复指南:[https://support.sitecore.com/](https://support.sitecore.com/)
上传你的 packages.lock.json 文件,立即知道是否受影响。