CVE-2019-9875

CVSS 8.8 HIGHEPSS 14.2%● KEVCWE-502

Em resumo

Uma falha na proteção contra CSRF do Sitecore permite que um usuário autenticado execute código arbitrário enviando dados serializados especialmente preparados. O sistema desserializa esses dados sem validação adequada.

Detalhe técnico

A desserialização insegura (CWE-502) no módulo anti-CSRF do Sitecore permite execução de código arbitrário através de objetos .NET serializados maliciosos em parâmetros POST. O ataque requer autenticação prévia e explora a falta de verificação de integridade nos dados desserializados, resultando em execução de código no servidor.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Deserialization of Untrusted Data in the anti CSRF module in Sitecore through 9.1 allows an authenticated attacker to execute arbitrary code by sending a serialized .NET object in an HTTP POST parameter.

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Produtos afetados

n/a · n/a

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://dev.sitecore.net/Downloads.aspx https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2019-9875 https://www.synacktiv.com/blog.html https://www.synacktiv.com/ressources/advisories/Sitecore_CSRF_deserialize_RCE.pdf