CVE-2019-9875

CVSS 8.8 HIGHEPSS 14.2%● KEVCWE-502

En resumen

Una falla en la protección CSRF de Sitecore permite que un atacante autenticado ejecute código arbitrario enviando datos serializados especialmente diseñados. El sistema desserializa estos datos sin validación apropiada.

Detalle técnico

La deserialización insegura (CWE-502) en el módulo anti-CSRF de Sitecore permite ejecución de código arbitrario mediante objetos .NET serializados maliciosos en parámetros POST. El ataque requiere autenticación previa y explota la ausencia de verificación de integridad en los datos deserializados, resultando en ejecución de código en el servidor.

Resumen generado y traducido por IA a partir de la descripción oficial.

Deserialization of Untrusted Data in the anti CSRF module in Sitecore through 9.1 allows an authenticated attacker to execute arbitrary code by sending a serialized .NET object in an HTTP POST parameter.

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Productos afectados

n/a · n/a

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://dev.sitecore.net/Downloads.aspx https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2019-9875 https://www.synacktiv.com/blog.html https://www.synacktiv.com/ressources/advisories/Sitecore_CSRF_deserialize_RCE.pdf