【安全资讯】Sitecore企业级CMS曝高危漏洞链，可导致未授权远程代码执行

概要：

全球知名企业级内容管理系统Sitecore Experience Platform近日被曝存在高危漏洞链，攻击者可组合利用三个漏洞实现未授权远程代码执行（RCE）。该CMS被联合航空、宝洁、微软等世界500强企业广泛采用，漏洞影响最新版本系统。研究人员发现其中包含硬编码凭证（密码仅为字母"b"）和路径遍历等"不可饶恕"级漏洞，目前已披露部分漏洞以留出修复时间。

主要内容：

安全团队watchTowr披露，Sitecore CMS存在七处安全缺陷，其中三处可形成攻击链。最严重的硬编码凭证漏洞将内部账户密码设为字母"b"，研究人员仅用3秒便暴力破解成功。该问题源于旧版默认配置，尽管当前版本已修正，但企业用户通常因担心破坏系统而保留默认凭证。

第二处漏洞涉及ZIP解压机制中的路径遍历问题。攻击者通过ServicesAPI账户上传含Webshell的ZIP压缩包，经CMS上传表单篡改即可实现认证后RCE。虽然该账户未分配角色增加了利用难度，但结合首个漏洞仍可完成攻击链。

第三处漏洞是更易利用的无限制文件上传缺陷，需配合外部Sitecore PowerShell扩展使用。研究人员指出，安装该扩展是使用热门插件Sitecore Experience Accelerator的前提条件，预计多数环境存在此漏洞利用条件。通过精心构造的HTTP请求，攻击者可完全控制系统。

据监测，全球超过2.2万个Sitecore实例暴露在风险中。厂商已于5月11日发布10.4版本补丁，建议用户立即更新。此次事件再次凸显企业软件默认配置和遗留设计带来的重大安全隐患。