Sitecore Experience Platform (XP) 预认证 RCE 漏洞链详解

Sitecore 是一个广受欢迎的企业级内容管理系统（CMS），帮助全球企业创建和管理网站及数字媒体内容。近期，安全研究机构 WatchTowr 披露了一条无需任何身份验证即可实现远程代码执行（RCE）的完整漏洞利用链，可直接破坏并劫持服务器。

Sitecore Dashboard

该漏洞链由三个独立漏洞组成，核心依赖于 Sitecore 内置的一个内部用户 sitecore\ServicesAPI。该用户密码被硬编码为“b”，极易被劫持。虽然该用户并非管理员且未分配任何角色，但攻击者仍可通过另一条登录路径 /sitecore/admin 完成认证——因为 Sitecore 的“仅后端登录”检查在非核心数据库上下文中被成功绕过。

成功认证后，攻击者获得有效的 .AspNetCookies 会话，从而绕过 Sitecore 角色检查，仅受 IIS 级别授权保护，即可访问内部敏感端点。

漏洞链拆解

1. 初始立足点：硬编码凭证劫持利用内置用户实现预认证访问，为后续攻击打开大门。

2. Zip Slip 路径穿越漏洞（上传向导）攻击者通过 Sitecore 上传向导提交包含恶意路径的 ZIP 文件（如 /../webshell.aspx）。由于路径清理不充分以及 Sitecore 映射路径的方式，任意文件可被直接写入 Web 根目录（无需知道完整系统路径），从而上传 WebShell 并执行远程代码。

CWE - CWE-23: Relative Path Traversal (4.19.1)

3. Sitecore PowerShell Extensions (SPE) 模块任意文件上传当安装 SPE 模块（常与 SXA 捆绑）时，第三个漏洞被触发。攻击者可将任意文件上传到指定任意路径，完全绕过扩展名和位置限制，提供一条更简单、可靠的 RCE 路径。

影响范围与风险评估

该漏洞链影响 Sitecore XP 10.1 至 10.4 版本。WatchTowr 扫描显示，全球超过 22,000 个 Sitecore 实例公开暴露，攻击面巨大（虽非所有实例均受影响）。

• 补丁情况：2025 年 5 月已发布修复补丁，但 CVE 编号和技术细节直至 2025 年 6 月 17 日才公开，以便客户有足够时间更新。
• 受影响行业：Sitecore 被广泛部署于银行、航空公司及全球大型企业，潜在影响范围极广。
• 当前状态：截至目前，尚无公开的野外利用证据。但 WatchTowr 的技术博客已提供足够细节，可快速构建完整 PoC，因此风险依然迫在眉睫。

安全建议如果您正在使用 Sitecore XP，请立即完成以下操作：

• 立即应用官方补丁
• 旋转所有相关凭证
• 限制公开暴露的 Sitecore 实例
• 监控异常上传和 PowerShell 相关活动

Sitecore 官方已确认全程配合处理该事件。建议企业用户优先评估自身环境，尽快完成修补，避免在攻击者逆向工程补丁前遭受潜在威胁。