← volver
CVE-2019-9875

CVE-2019-9875

CVSS 8.8 HIGHEPSS 14.2%● KEVCWE-502
Vexday Risk Score
56Atención
Decisión SSVC (CISA)
Act
Explotación + impacto → acción inmediata
CVSS 8.8EPSS 14.2%KEV simPoC Nuclei Metasploit Patch
Ciclo de vida
31 may 2019Publicada en NVD
26 mar 2025Explotación activa (CISA KEV)
Recomendación: Corregir cuanto antes — hay explotación activa confirmada.
En resumen

Una falla en la protección CSRF de Sitecore permite que un atacante autenticado ejecute código arbitrario enviando datos serializados especialmente diseñados. El sistema desserializa estos datos sin validación apropiada.

Detalle técnico

La deserialización insegura (CWE-502) en el módulo anti-CSRF de Sitecore permite ejecución de código arbitrario mediante objetos .NET serializados maliciosos en parámetros POST. El ataque requiere autenticación previa y explota la ausencia de verificación de integridad en los datos deserializados, resultando en ejecución de código en el servidor.

Resumen generado y traducido por IA a partir de la descripción oficial.
Deserialization of Untrusted Data in the anti CSRF module in Sitecore through 9.1 allows an authenticated attacker to execute arbitrary code by sending a serialized .NET object in an HTTP POST parameter.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/a

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://dev.sitecore.net/Downloads.aspxhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2019-9875https://www.synacktiv.com/blog.htmlhttps://www.synacktiv.com/ressources/advisories/Sitecore_CSRF_deserialize_RCE.pdf