Sicherheit zweiter Klasse: drei Schwachstellen in Sitecore CMS

In der CMS-Plattform von Sitecore wurden mehrere Schwachstellen gefunden, die eine Remote-Codeausführung (RCE) ohne Authentifizierung ermöglichen.

Mehrere Schwachstellen in Sitecore CMS

Forscher haben drei Schwachstellen in dem beliebten Content-Management-System „Sitecore Experience Platform“ gefunden.

  • CVE-2025-34509 bezieht sich auf ein hartcodiertes Passwort (das nur einen Buchstaben enthält). Mit diesem Passwort kann sich ein Angreifer aus der Ferne bei einem Dienstkonto einloggen.
  • CVE-2025-34510 ist eine Schwachstelle, mit der ein authentifizierter Nutzer ein zip-Archiv hochladen und in das Stammverzeichnis der Website extrahieren kann.
  • CVE-2025-34511 erlaubt Nutzern, externe Dateien auf die Website hochzuladen, und zwar ohne Einschränkungen.

Wenn ein Angreifer die erste Schwachstelle mit einer der zweiten oder dritten kombiniert, kann er auf einem Server, auf dem Sitecore Experience Platform läuft, per Fernsteuerung Code ausführen.

Bisher gibt es keine Hinweise darauf, dass diese Schwachstellen tatsächlich ausgenutzt werden. Die Experten von watchTowr haben den Fall genau analysiert und gezeigt, dass Angreifer die Sicherheitslücken jederzeit in handfeste Bedrohungen verwandeln können.

CVE-2025-34509 – Zugriff über ein voreingestelltes Benutzerkonto

Sitecore CMS enthält mehrere Standardkonten, eines davon ist sitecore\ServicesAPI. Natürlich werden die Passwörter für alle Benutzerkonten in Hash-Form (und sogar mit Salt) gespeichert. Das hilft jedoch nichts, wenn das Passwort zu kurz geraten ist und nur aus dem Buchstaben „b“ besteht. Brute-Force-Methoden knacken ein solches Passwort innerhalb von drei Sekunden.

Interessanterweise raten die Sitecore-Entwickler davon ab, Standardkonten zu ändern. Es wird gewarnt: „Änderungen eines Standardbenutzerkontos können sich auf andere Bereiche des Sicherheitsmodells auswirken“ (was auch immer das bedeuten mag). Website-Admins, die den offiziellen Anweisungen folgen, werden diese Passwörter wohl nicht ändern. Vermutlich gibt es solche Standardkonten also auf den meisten Websites, die dieses CMS verwenden.

Allerdings sind dem Nutzer sitecore\ServicesAPI keine Rechte oder Rollen zugewiesen. Darum kann er sich nicht einfach über die standardmäßige Sitecore-Anmeldeschnittstelle authentifizieren. Die Forscher fanden jedoch einen Weg, die für eine erfolgreiche Authentifizierung erforderliche Datenbankprüfung zu umgehen (Details findest du in der genannten Studie). Mit diesem Trick erhält der Angreifer ein gültiges Sitzungscookie. Er hat zwar immer noch keine Administratorrechte, kann das Cookie jedoch für weitere Angriffe nutzen.

CVE-2025-34510 – Schwachstelle im Datei-Uploader von Sitecore

Sitecore enthält einen Mechanismus zum Hochladen von Dateien, der jedem authentifizierten Nutzer zur Verfügung steht. Mit einem gültigen Sitzungscookie kann ein Angreifer eine HTTP-Anfrage erstellen, um ein zip-Archiv hochzuladen und automatisch zu extrahieren. Hier ist der springende Punkt von CVE-2025-34510: Ein authentifizierter Angreifer kann aufgrund einer fehlerhaften Eingabebereinigung (input sanitization) einen Pfad manipulieren (path traversal). Diese Schwachstelle, die als „Zip Slip“ bekannt ist, durchleuchten wir in unserem Artikel über die Verarbeitung von zip-Dateien. Der Angreifer kann das Archiv an einem beliebigen Ort extrahieren, beispielsweise im Stammordner der Website. Deshalb kann er alles Mögliche hochladen, beispielsweise seine eigene Web-Shell.

CVE-2025-34511 – Schwachstelle im Datei-Uploader des „Sitecore PowerShell Extensions“-Moduls

CVE-2025-34511 ist eine andere Methode, mit der Sitecore kompromittiert werden kann. Diese Schwachstelle befindet sich im Modul „Sitecore PowerShell Extensions“. Es ist für das Funktionieren bestimmter Sitecore-Erweiterungen erforderlich. Beispielsweise für „Sitecore Experience Accelerator“, eine der populärsten Erweiterungen für dieses CMS.

Die Schwachstelle funktioniert ähnlich wie CVE-2025-34510, ist aber etwas einfacher gestrickt. Die Erweiterung „Sitecore PowerShell“ verfügt zudem über eine eigene Upload-Funktion, die von einem authentifizierten Nutzer ausgenutzt werden kann. Über http-Anfragen kann ein Angreifer beliebige Dateien mit beliebigen Erweiterungen auf das CMS hochladen und in einem beliebigen Verzeichnis auf der Website speichern. Ein benutzerdefiniertes zip-Archiv und ein benutzerdefinierter Pfad sind also überflüssig, das Ergebnis ist aber identisch: Eine Web-Shell wird hochgeladen.

So schützt du dich vor Angriffen auf Sitecore Experience Platform

Patches für diese drei Schwachstellen wurden bereits im Mai 2025 veröffentlicht. Wenn dein Unternehmen Sitecore verwendet (insbesondere in Kombination mit Sitecore PowerShell Extensions), solltest du das CMS so schnell wie möglich aktualisieren. Laut den NIST-Beschreibungen betrifft CVE-2025-34509 die folgenden Komponenten: Sitecore Experience Manager und Experience Platform Versionen 10.1 bis 10.1.4 rev. 011974 PRE; alle Varianten von 10.2; 10.3 bis 10.3.3 rev. 011967 PRE; und 10.4 bis 10.4.1 rev. 011941 PRE. CVE-2025-34510 ist in den Versionen 9.0 bis 9.3 und 10.0 bis 10.4 von Experience Manager, Experience Platform und Experience Commerce vorhanden. CVE-2025-34511 betrifft alle Versionen von Sitecore PowerShell Extensions bis Version 7.0.

Die Forscher, die diese Schwachstellen entdeckt haben, weisen noch auf vier viel interessantere Schwachstellen hin. Für diese gibt es aber noch keine Patches. Darum werden diese Schwachstellen vorerst geheim gehalten. Daher unsere Empfehlung: Behalte die kommenden Updates der Sitecore-Entwickler im Auge.

Tipps

Passkeys 2025: Tipps für erfahrene Nutzer

Wie funktioniert die Passkey-Anmeldung von einem fremden Computer aus? Wie speichert man Passkeys auf einem Wechseldatenträger? Wie überträgt man Passkeys zwischen Geräten? – Fragen über Fragen. Unser Leitfaden hilft weiter.

Abonnieren Sie uns und bleiben Sie auf dem neuesten Stand mit unseren Beiträgen
  • Für alle anderen Länder