Sitecore 零日漏洞可让攻击者远程执行代码

近日披露的零日漏洞 Sitecore 体验平台关键漏洞（CVE-2025-27218）允许未经身份验证的攻击者在未打补丁的系统上执行任意代码 。该漏洞源于不安全的可让数据反序列化操作 ，影响Sitecore 体验管理器（XM）和体验平台（XP）8.2至10.4版本，攻击这些版本在安装补丁KB1002844之前均存在风险。程执

安全公司Assetnote发现了这一漏洞，行代该漏洞利用了Sitecore对已弃用的零日漏洞BinaryFormatter类的错误使用 ，从而绕过身份验证检查并部署恶意负载 。亿华云可让

Sitecore 零日漏洞的攻击技术细节

该漏洞位于MachineKeyTokenService.IsTokenValid方法中，该方法使用Convert.Base64ToObject对ThumbnailsAccessToken HTTP头中的程执不受信任数据进行反序列化。关键问题在于，行代反序列化操作发生在解密之前，零日漏洞这使得攻击者能够直接将精心构造的可让负载注入到处理流程中。

攻击者通过使用ysoserial.net等工具生成恶意的攻击序列化对象 ，并利用WindowsIdentity gadget链来执行操作系统命令 。程执例如 ，香港云服务器行代以下负载可以创建一个文件以确认代码执行 ：

生成的Base64编码负载被插入到ThumbnailsAccessToken头中。Sitecore的AuthenticateThumbnailsRequest HTTP处理器（属于httpRequestBegin管道）会在没有身份验证检查的情况下解析该头
，导致立即进行反序列化并激活负载 。

漏洞的广泛影响与风险

Sitecore为全球超过12,000个企业数字平台提供支持，因此该漏洞具有系统性风险：

无需身份验证的远程代码执行（RCE） ：利用此漏洞无需任何凭证 ，使得大规模扫描和攻击自动化成为可能。完全服务器控制 ：成功攻击将授予IIS APPPOOL\Sitecore权限，源码库允许横向移动和数据泄露 。业务中断 ：恶意攻击者可能篡改网站、注入恶意软件或破坏CMS操作。

Assetnote的分析指出，Sitecore对BinaryFormatter的错误实现（微软已明确警告不应使用此类）创造了一个本可避免的攻击面。Sitecore通过此机制序列化字节数组的行为引入了不必要的风险 ，而解密步骤的高防服务器顺序错误则进一步加剧了问题。

缓解措施与建议

Sitecore已发布补丁来修复CVE-2025-27218 ，并敦促客户采取以下措施
：

立即升级到Sitecore 10.4或应用安全补丁。检查HTTP管道中是否存在未经授权的BinaryFormatter使用。监控ThumbnailsAccessToken头的异常活动 。

对于无法立即打补丁的组织，微软建议强制执行Serialization Binder限制，或通过运行时配置完全禁用BinaryFormatter。云计算

这一事件凸显了安全反序列化实践中的持续挑战。尽管自2017年以来，人们对BinaryFormatter的风险已有广泛认知，但其在企业软件中的持续使用表明漏洞研究与开发人员教育之间仍存在差距。截至2025年3月6日，尚未确认有野外利用案例，但未打补丁的系统仍面临严重威胁。使用Sitecore的服务器租用组织必须优先修复此漏洞 ，以防大规模数据泄露。