← volver
CVE-2025-53690

Sitecore Products ViewState Deserialization Vulnerability

CVSS 9 CRITICALEPSS 26.3%● KEVCWE-502
En resumen

Los productos Sitecore deserializan datos no confiables en ViewState, permitiendo que atacantes inyecten y ejecuten código arbitrario en el servidor. Afecta a Sitecore Experience Manager y Experience Platform en versiones hasta 9.0.

Detalle técnico

Una vulnerabilidad de deserialización en el manejo de ViewState permite inyección de código mediante datos no confiables. Los atacantes pueden crear objetos serializados maliciosos que ejecutan código arbitrario cuando son deserializados por la aplicación, afectando Sitecore XM y XP hasta versión 9.0 sin requerir autenticación.

Resumen generado y traducido por IA a partir de la descripción oficial.
Deserialization of Untrusted Data vulnerability in Sitecore Experience Manager (XM), Sitecore Experience Platform (XP) allows Code Injection.This issue affects Experience Manager (XM): through 9.0; Experience Platform (XP): through 9.0.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
Productos afectados
Sitecore · Experience Manager (XM)Sitecore · Experience Platform (XP)
PoCs públicas encontradas3
githubgithub.com/ErikLearningSec/CVE-2025-53690-POC8githubgithub.com/rxerium/CVE-2025-536905githubgithub.com/m0d0ri205/CVE-2025-53690-Analysis3
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://cloud.google.com/blog/topics/threat-intelligence/viewstate-deserialization-zero-day-vulnerabilityhttps://support.sitecore.com/kb?id=kb_article_view&sysparm_article=KB1003865https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-53690