Schwachstelle in Sitecore Experience Platform & Manager: Bis zu 1.366 Instanzen könnten betroffen sein

Sicherheitslücke in der Deserialisierung ermöglicht RCE ohne Authentifizierung

Die kürzlich entdeckte Schwachstelle CVE-2025-27218 ist eine nicht autorisierte Sicherheitsanfälligkeit für Remotecodeausführung (Remote Control Execution, RCE) und betrifft die Sitecore Experience Platform und die Experience Manager Version 10.4 vor KB1002844. Obwohl die Schwachstelle keine Authentifizierung erfordert und RCE ermöglicht, wurde sie mit einem seltsam gering erscheinenden CVSS-Ranking von 5,3 eingestuft. Über einen Hotfix des Herstellers ist die Vulnerability gepatcht.

Forscher von Searchlight Cyber führten den Fehler auf den Missbrauch der BinaryFormatter-Klasse in Convert.Base64ToObject zurück. Dadurch kann eine Deserialisierung kodierter Strings ohne Validierung erfolgen. Die Methode MachineKeyTokenService.IsTokenValid akzeptiert einen ThumbnailsAccessToken-Header, dekodiert ihn mit BinaryFormatter und verarbeitet die dekodierten Daten ohne Validierung. Der Proof of Concept (PoC) demonstriert diese Schwachstelle, indem eine Payload an ThumbnailsAccessToken übergeben und damit ein 500-Fehler des Servers ausgelöst wird. Kurz darauf konnte die Payload erfolgreich im Dateisystem ausgeführt werden.

Bislang scheint die Sicherheitslücke noch nicht aktiv ausgenutzt worden zu sein. Die Schwelle für einen Exploit ist jedoch extrem niedrig, da es sich um eine nicht authentifizierte RCE-Schwachstelle mit funktionierendem PoC handelt. Benutzer von Sitecore sollten den Hotfix des Herstellers daher sofort anwenden.

Mit Censys Search und Censys Attack Surface Management lassen sich 1.418 Instanzen der Sitecore Experience Platform beobachten, die weltweit online sind. Einige dieser Instanzen befinden sich auch in Europa. Von diesen gaben 1.366 keine Version an – dies bedeutet jedoch nicht unbedingt, dass sie auch nicht anfällig sind. In den Fällen, in denen eine Version offengelegt war, verwendete keine Instanz die Version 10.3. – diese Instanzen waren daher nicht von der Sicherheitslücke betroffen. Außerdem waren über die Tools für Threat Hunting und Attack Surface Management der Censys Internet Plattform keine Instanzen von Sitecore Experience Manager beobachtbar.

Unter https://censys.com/cve-2025-27218/ finden Sie weitere Informationen zur Schwachstelle sowie eine Karte mit den auffindbaren Instanzen.

Censys, Inc.TM ist die führende Internet-Intelligence-Plattform für Threat Hunting und Attack Surface Management. Censys wurde 2017 in Ann Arbor in Michigan, USA, gegründet und bietet Unternehmen den weltweit umfassendsten Echtzeit-Überblick ihrer Internet-Infrastruktur, Assets und Geräte. Kunden wie Google, Cisco, Microsoft, Samsung, das U.S. Department of Homeland Security, das Office of the Director of National Intelligence (ODNI), die Cybersecurity & Infrastructure Security Agency (CISA) und mehr als 50 % der Fortune 500 vertrauen auf Censys für eine kontextualisierte Echtzeitansicht ihrer Internet- und Clouds-Assets. Um mehr zu erfahren, besuchen Sie www.censys.com und folgen Sie Censys auf LinkedIn, X, Bluesky und Mastodon.

Firmenkontakt
Censys
Eugenia Kendrick
S Main Street 116
48104 Ann Arbor
+1-888-985-5547
www.censys.com/de

Pressekontakt
Sprengel & Partner GmbH
Nico Reinicke
Nisterstraße 3
D-56472 Nisterau
+49 (0) 26 61-91 26 0-0
www.sprengel-pr.com