近日披露的 Sitecore 體驗(yàn)平臺(tái)關(guān)鍵漏洞（CVE-2025-27218）允許未經(jīng)身份驗(yàn)證的攻擊者在未打補(bǔ)丁的系統(tǒng)上執(zhí)行任意代碼。該漏洞源于不安全的數(shù)據(jù)反序列化操作，影響Sitecore 體驗(yàn)管理器（XM）和體驗(yàn)平臺(tái)（XP）8.2至10.4版本，這些版本在安裝補(bǔ)丁KB1002844之前均存在風(fēng)險(xiǎn)。

安全公司Assetnote發(fā)現(xiàn)了這一漏洞，該漏洞利用了Sitecore對(duì)已棄用的BinaryFormatter類的錯(cuò)誤使用，從而繞過(guò)身份驗(yàn)證檢查并部署惡意負(fù)載。

Sitecore 零日漏洞的技術(shù)細(xì)節(jié)

該漏洞位于MachineKeyTokenService.IsTokenValid方法中，該方法使用Convert.Base64ToObject對(duì)ThumbnailsAccessToken HTTP頭中的不受信任數(shù)據(jù)進(jìn)行反序列化。關(guān)鍵問(wèn)題在于，反序列化操作發(fā)生在解密之前，這使得攻擊者能夠直接將精心構(gòu)造的負(fù)載注入到處理流程中。

攻擊者通過(guò)使用ysoserial.net等工具生成惡意的序列化對(duì)象，并利用WindowsIdentity gadget鏈來(lái)執(zhí)行操作系統(tǒng)命令。例如，以下負(fù)載可以創(chuàng)建一個(gè)文件以確認(rèn)代碼執(zhí)行：

生成的Base64編碼負(fù)載被插入到ThumbnailsAccessToken頭中。Sitecore的AuthenticateThumbnailsRequest HTTP處理器（屬于httpRequestBegin管道）會(huì)在沒(méi)有身份驗(yàn)證檢查的情況下解析該頭，導(dǎo)致立即進(jìn)行反序列化并激活負(fù)載。

漏洞的廣泛影響與風(fēng)險(xiǎn)

Sitecore為全球超過(guò)12,000個(gè)企業(yè)數(shù)字平臺(tái)提供支持，因此該漏洞具有系統(tǒng)性風(fēng)險(xiǎn)：

• 無(wú)需身份驗(yàn)證的遠(yuǎn)程代碼執(zhí)行（RCE）：利用此漏洞無(wú)需任何憑證，使得大規(guī)模掃描和攻擊自動(dòng)化成為可能。
• 完全服務(wù)器控制：成功攻擊將授予IIS APPPOOL\Sitecore權(quán)限，允許橫向移動(dòng)和數(shù)據(jù)泄露。
• 業(yè)務(wù)中斷：惡意攻擊者可能篡改網(wǎng)站、注入惡意軟件或破壞CMS操作。

Assetnote的分析指出，Sitecore對(duì)BinaryFormatter的錯(cuò)誤實(shí)現(xiàn)（微軟已明確警告不應(yīng)使用此類）創(chuàng)造了一個(gè)本可避免的攻擊面。Sitecore通過(guò)此機(jī)制序列化字節(jié)數(shù)組的行為引入了不必要的風(fēng)險(xiǎn)，而解密步驟的順序錯(cuò)誤則進(jìn)一步加劇了問(wèn)題。

緩解措施與建議

Sitecore已發(fā)布補(bǔ)丁來(lái)修復(fù)CVE-2025-27218，并敦促客戶采取以下措施：

• 立即升級(jí)到Sitecore 10.4或應(yīng)用安全補(bǔ)丁。
• 檢查HTTP管道中是否存在未經(jīng)授權(quán)的BinaryFormatter使用。
• 監(jiān)控ThumbnailsAccessToken頭的異常活動(dòng)。

對(duì)于無(wú)法立即打補(bǔ)丁的組織，微軟建議強(qiáng)制執(zhí)行Serialization Binder限制，或通過(guò)運(yùn)行時(shí)配置完全禁用BinaryFormatter。

這一事件凸顯了安全反序列化實(shí)踐中的持續(xù)挑戰(zhàn)。盡管自2017年以來(lái)，人們對(duì)BinaryFormatter的風(fēng)險(xiǎn)已有廣泛認(rèn)知，但其在企業(yè)軟件中的持續(xù)使用表明漏洞研究與開(kāi)發(fā)人員教育之間仍存在差距。截至2025年3月6日，尚未確認(rèn)有野外利用案例，但未打補(bǔ)丁的系統(tǒng)仍面臨嚴(yán)重威脅。使用Sitecore的組織必須優(yōu)先修復(fù)此漏洞，以防大規(guī)模數(shù)據(jù)泄露。