كشف باحثون في مجال الأمن السيبراني عن ثلاث ثغرات أمنية في منصة Sitecore Experience Platform (XP)، والتي يمكن ربطها معًا لتحقيق تنفيذ تعليمات برمجية عن بُعد دون الحاجة إلى مصادقة مسبقة.
تُعد منصة Sitecore XP من البرمجيات الموجهة للمؤسسات، حيث توفّر أدوات لإدارة المحتوى والتسويق الرقمي والتحليلات والتقارير.
قائمة الثغرات (لم تُمنح بعد معرفات CVE):
-
استخدام بيانات اعتماد ثابتة (Hard-coded Credentials).
-
تنفيذ تعليمات برمجية بعد المصادقة عبر اجتياز المسارات (Path Traversal).
-
تنفيذ تعليمات برمجية بعد المصادقة عبر امتداد PowerShell الخاص بـ Sitecore.
أشار الباحث Piotr Bazydlo من مختبرات watchTowr إلى أن الحساب الافتراضي “sitecore\ServicesAPI” يستخدم كلمة مرور مكوّنة من حرف واحد فقط وهي “b”، وهي مضمنة مسبقًا في ملفات التثبيت.
على الرغم من أن هذا المستخدم لا يمتلك أي صلاحيات داخل Sitecore، إلا أن الباحثين اكتشفوا أنه يمكن استخدام هذه البيانات لتسجيل الدخول عبر الواجهة البرمجية /sitecore/admin والحصول على رمز جلسة (session cookie) صالح لهذا المستخدم.
وأوضح Bazydlo:
“رغم أننا لا يمكننا الوصول إلى ‘Sitecore Applications’ لأن المستخدم ServicesAPI لا يمتلك صلاحيات، إلا أنه يمكننا:
(1) الوصول إلى عدد من الواجهات البرمجية (APIs)، و
(2) تجاوز قواعد التفويض الخاصة بخادم IIS والوصول مباشرة إلى بعض النقاط الحساسة.”
هذه الثغرة تمكّن من تنفيذ تعليمات برمجية عن بُعد من خلال هجوم zip slip، حيث يمكن رفع ملف ZIP مُعدّ مسبقًا يحتوي على shell ضار عبر المسار:
شاهد ايضا :-
يؤدي هذا إلى كتابة محتوى الأرشيف مباشرة داخل مجلد الجذر للموقع، مما يتيح تنفيذ تعليمات برمجية.
خطوات الاستغلال:
-
المصادقة باستخدام حساب
sitecore\ServicesAPI. -
الوصول إلى صفحة
Upload2.aspx. -
رفع ملف ZIP يحتوي على web shell باسم
/\/../. -
تحديد خيار “Unzip” أثناء عملية الرفع.
-
الوصول إلى الـ shell عبر الرابط الناتج.
الثغرة الثالثة تتعلق بخطأ في التحقق من صلاحية الملفات المرفوعة عبر ملحق PowerShell الخاص بـ Sitecore، حيث يمكن أيضًا استغلالها من خلال حساب sitecore\ServicesAPI عبر المسار:
وأشارت watchTowr إلى أن كلمة المرور الثابتة تعود إلى ملف التثبيت الذي يتضمن قاعدة بيانات تحتوي على هذا الحساب بكلمة المرور “b”. وتم تضمين هذا التغيير بدءًا من الإصدار 10.1 من Sitecore.
بالتالي، تعمل سلسلة الاستغلال فقط إذا تم تثبيت Sitecore باستخدام الحزمة منذ الإصدار 10.1. أما المستخدمون الذين قاموا بالترقية من إصدار أقدم، فغالبًا لن يتأثروا طالما استخدموا قاعدة البيانات القديمة.
مع العلم أن هناك ثغرات سابقة في Sitecore XP (مثل CVE-2019-9874 و CVE-2019-9875) تم استغلالها بنشاط، ما يجعل تطبيق التحديثات الأمنية أمرًا بالغ الأهمية لتفادي التهديدات الإلكترونية.
تعليق Benjamin Harris، الرئيس التنفيذي لـ watchTowr:
“لا نصدق أننا ما زلنا في عام 2025 ونتحدث عن كلمات مرور ثابتة مثل ‘b’.
Sitecore تُستخدم في آلاف البيئات حول العالم – في البنوك، وشركات الطيران، والمؤسسات العالمية – مما يجعل نطاق التأثير هائلًا.”
“وهذا ليس مجرد خطر نظري: لقد قمنا بتنفيذ سلسلة الهجوم كاملة من البداية للنهاية. إذا كنت تستخدم Sitecore، فلا يوجد أسوأ من ذلك – قم بتغيير بيانات الاعتماد وتحديث النظام فورًا.”
المصدر: The Hacker News
