CVE-2019-9874
CVE-2019-9874
En resumen
Una falla de seguridad en Sitecore CMS permite que atacantes envíen datos especialmente preparados que engañan al sistema para ejecutar código malicioso sin necesidad de iniciar sesión. Esto ocurre en el módulo de protección anti-CSRF, que debería bloquear solicitudes no deseadas pero abre una brecha en su lugar.
Detalle técnico
La deserialización insegura de objetos .NET no confiables en el módulo Sitecore.Security.AntiCSRF permite ejecución remota de código mediante el parámetro POST __CSRFTOKEN. Un atacante sin autenticación puede serializar una cadena maliciosa de gadgets .NET y ejecutar código arbitrario con privilegios de la aplicación, afectando Sitecore CMS 7.0–7.2 y XP 7.5–8.2.
Resumen generado y traducido por IA a partir de la descripción oficial.
Deserialization of Untrusted Data in the Sitecore.Security.AntiCSRF (aka anti CSRF) module in Sitecore CMS 7.0 to 7.2 and Sitecore XP 7.5 to 8.2 allows an unauthenticated attacker to execute arbitrary code by sending a serialized .NET object in the HTTP POST parameter __CSRFTOKEN.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/a¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →