CVE-2019-9874
CVE-2019-9874
Em resumo
Uma falha de segurança no Sitecore CMS permite que atacantes enviem dados especialmente preparados que enganam o sistema para executar código malicioso sem necessidade de login. Isso ocorre no módulo de proteção anti-CSRF, que deveria bloquear requisições indesejadas mas acaba abrindo uma brecha.
Detalhe técnico
Desserialização insegura de objetos .NET não confiáveis no módulo Sitecore.Security.AntiCSRF possibilita execução remota de código via parâmetro POST __CSRFTOKEN. Um atacante não autenticado pode serializar uma cadeia maliciosa de gadgets .NET e executar código arbitrário com privilégios da aplicação, afetando Sitecore CMS 7.0–7.2 e XP 7.5–8.2.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Deserialization of Untrusted Data in the Sitecore.Security.AntiCSRF (aka anti CSRF) module in Sitecore CMS 7.0 to 7.2 and Sitecore XP 7.5 to 8.2 allows an unauthenticated attacker to execute arbitrary code by sending a serialized .NET object in the HTTP POST parameter __CSRFTOKEN.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/aQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →