Vulnerabilidades críticas en Sitecore 2025
Vulnerabilidad crítica 8 septiembre
Introducción
CVE-2025-53690 es una vulnerabilidad crítica de deserialización insegura (CWE-502) en múltiples productos de Sitecore como Experience Manager (XM), Experience Platform (XP), Experience Commerce (XC) y entornos Managed Cloud siempre que se hayan desplegado utilizando la clave estática de ASP.NET incluida en guías oficiales previas a 2017. Al reutilizar esta clave pública, los atacantes pueden manipular los datos de ViewState para ejecutar código arbitrario en el servidor afectado.
Análisis
CVE-2025-53690 - CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H - 9
El mecanismo de ataque aprovechado es una deserialización maliciosa de __VIEWSTATE, un campo oculto usado por ASP.NET. Al conocer la clave estática, los atacantes pueden cifrar y firmar cargas útiles maliciosas que el servidor deserializa como legítimas, permitiendo la ejecución remota de código (RCE). Una vez dentro, los atacantes desplegaron un malware denominado WEEPSTEEL, que recolecta información del sistema, procesos, discos y redes, filtrándola disfrazada como respuesta ViweState. En paralelo, herramientas como Earthworm (túneles de red), DWAgent (acceso remoto), SharpHound (reconocimiento de Active Directory) y GoTokenTheft (robo de tokens) formaron parte del arsenal ofensivo. También crearon cuentas de administrador locales, extrajeron hives de credenciales (SAM y SYSTEM) y utilizaron RDP para moverse lateralmente por la red.
Versiones afectadas
Afecta a los clientes que implementaron cualquier versión de varios productos de Sitecore utilizando la clave de muestra expuesta en las guías de implementación disponibles públicamente (específicamente Sitecore XP 9.0, Active Directory 1.4 y versiones anteriores).
Workarounds
No hay workarounds para esta vulnerabilidad.