← voltar
CVE-2025-53690

Sitecore Products ViewState Deserialization Vulnerability

CVSS 9 CRITICALEPSS 26.3%● KEVCWE-502
Em resumo

Produtos Sitecore desserializam dados não confiáveis no ViewState, permitindo que atacantes injetem e executem código arbitrário no servidor. Afeta Sitecore Experience Manager e Experience Platform versões até 9.0.

Detalhe técnico

Uma vulnerabilidade de desserialização no tratamento de ViewState permite injeção de código por dados não confiáveis. Atacantes podem criar objetos serializados maliciosos que executam código arbitrário quando desserializados pela aplicação, afetando Sitecore XM e XP até versão 9.0 sem necessidade de autenticação.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Deserialization of Untrusted Data vulnerability in Sitecore Experience Manager (XM), Sitecore Experience Platform (XP) allows Code Injection.This issue affects Experience Manager (XM): through 9.0; Experience Platform (XP): through 9.0.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
Produtos afetados
Sitecore · Experience Manager (XM)Sitecore · Experience Platform (XP)
PoCs públicas encontradas3
githubgithub.com/ErikLearningSec/CVE-2025-53690-POC8githubgithub.com/rxerium/CVE-2025-536905githubgithub.com/m0d0ri205/CVE-2025-53690-Analysis3
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://cloud.google.com/blog/topics/threat-intelligence/viewstate-deserialization-zero-day-vulnerabilityhttps://support.sitecore.com/kb?id=kb_article_view&sysparm_article=KB1003865https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-53690