أمان من الدرجة الثانية: ثلاث ثغرات أمنية في منصة Sitecore CMS.

اكتشف باحثون عدة ثغرات أمنية في منصة Sitecore CMS تسمح بتنفيذ تعليمات برمجية عن بُعد دون مصادقة (RCE).

اكتشف الباحثون ثلاث ثغرات أمنية في نظام إدارة المحتوى الشهير، Sitecore Experience Platform.

  • تتضمن الثغرة الأمنية CVE-2025-34509 كلمة مرور ثابتة (تتكون من حرف واحد فقط) تسمح للمهاجم بتسجيل الدخول عن بُعد كحساب خدمة.
  • CVE-2025-34510 هي ثغرة أمنية في Zip Slip تتيح لمستخدم مصرح له تحميل واستخراج أرشيف ZIP إلى الدليل الجذر لموقع الويب.
  • تسمح الثغرة الأمنية CVE-2025-34511 للمستخدمين أيضًا بتحميل ملفات خارجية إلى الموقع، لكن هذه المرة دون أي قيود.

عن طريق دمج الثغرة الأمنية الأولى مع أي من الثغرتين الأخيرتين، يمكن للمهاجم تحقيق تنفيذ التعليمات البرمجية عن بُعد (RCE) على خادم يعمل عليه نظام Sitecore Experience Platform.

لا يوجد حاليًا أي دليل على استغلال هذه الثغرات الأمنية في هجمات فعلية؛ ومع ذلك، فإن التحليل المفصل الذي نشرته watchTowr يحتوي على معلومات كافية لكي يقوم المهاجمون بتحويلها إلى أسلحة في أي لحظة.

CVE-2025-34509 – الوصول من خلال حساب محدد مسبقًا

يتضمن نظام Sitecore CMS العديد من الحسابات الافتراضية، أحدها هو sitecore\ServicesAPI. وبطبيعة الحال، تُخزن كلمات المرور لجميع الحسابات بصيغة مجزأة (وحتى معزز بالحماية بقيمة عشوائية). ومع ذلك، لا يُحدث هذا فرقًا كبيرًا إذا كانت كلمة المرور تتكون من الحرف الفردي “b” فقط. ويمكن اختراق كلمة مرور كهذه باستخدام التخمين في حوالي ثلاث ثوانٍ فقط.

تجدر الإشارة إلى أن مطوري Sitecore ينصحون بعدم تعديل الحسابات الافتراضية، محذرين من أن “تعديل حساب مستخدم افتراضي يمكن أن يؤثر على مناطق أخرى من نموذج الأمان” (مهما كان معنى ذلك). لذلك من غير المرجح أن يقوم مسؤولو الموقع الذين يتبعون التعليمات الرسمية بتغيير كلمات المرور هذه. ونتيجة لذلك، من المحتمل أن تكون هذه الحسابات الافتراضية موجودة في معظم مواقع الويب التي تستخدم نظام إدارة المحتوى هذا.

على الرغم من ذلك، فإن المستخدم sitecore\ServicesAPI لا يمتلك حقوقًا أو أدوارًا معينة له، لذا فإن مجرد المصادقة من خلال واجهة تسجيل الدخول القياسية من Sitecore غير ممكنة. ومع ذلك، وجد الباحثون طريقة لتجاوز فحص قاعدة البيانات المطلوب للمصادقة الناجحة (للحصول على التفاصيل، راجع البحث الأصلي). ونتيجة لذلك، يحصل المهاجم على ملف تعريف ارتباط للجلسة صالح. ولا يزالون لا يمتلكون حقوق المسؤول، لكن يمكن استخدام ملف تعريف الارتباط هذا لشن هجمات أخرى.

CVE-2025-34510 – ثغرة أمنية في أداة تحميل الملفات من Sitecore

لدى Sitecore آلية تحميل الملفات يمكن لأي مستخدم مصرح له استخدامها. ولذا، عن طريق امتلاك ملف تعريف ارتباط جلسة صالح، يمكن للمهاجم إنشاء طلب HTTP لتحميل أرشيف ZIP واستخراجه تلقائيًا. ويتمثل جوهر الثغرة الأمنية CVE-2025-34510 في أنه بسبب الخلل في تنقية المدخلات، يمكن للمهاجم المصرح له تنفيذ هجوم اجتياز المسار. ويمكنك قراءة المزيد عن هذا النوع من الثغرات الأمنية – المعروفة باسم Zip Slip – في منشورنا عن معالجة ملفات ZIP. وفي الأساس، يمكن للمهاجم استخراج الأرشيف إلى أي مكان – على سبيل المثال، المجلد الجذر لموقع الويب. وبهذه الطريقة، يستطيع المهاجم تحميل أي شيء – مثل غلاف الويب (web shell) الخاص به.

CVE-2025-34511 – ثغرة أمنية في أداة تحميل الملفات في الوحدة النمطية Sitecore PowerShell Extensions

تمثل الثغرة الأمنية CVE-2025-34511 طريقة بديلة لاختراق Sitecore. وتوجد هذه الثغرة الأمنية في الوحدة النمطية Sitecore PowerShell Extensions، التي تعد مطلوبة لكي يعمل عدد من امتدادات Sitecore – على سبيل المثال، Sitecore Experience Accelerator، وهو أحد أكثر الامتدادات شيوعًا لنظام إدارة المحتوى هذا.

بشكل أساسي، تعمل هذه الثغرة الأمنية بالطريقة نفسها التي تعمل بها ثغرة CVE-2025-34510، لكن بشكل أبسط قليلاً. ويحتوي امتداد Sitecore PowerShell أيضًا على آلية تحميل الملفات الخاصة به، التي يمكن استغلالها بواسطة مستخدم مصرح له. ومن خلال طلبات HTTP، يستطيع المهاجم تحميل أي ملف بأي امتداد إلى نظام إدارة المحتوى، وحفظه في أي دليل على موقع الويب. وهذا يعني أنه عدم الحاجة إلى إعداد أرشيف ومسار ZIP مخصصين، والنتيجة واحدة في الأساس: تحميل غلاف ويب.

كيفية الحماية من الهجمات على Sitecore Experience Platform

تم إصدار تصحيحات لهذه الثغرات الأمنية الثلاثة مرة أخرى في مايو 2025. وإذا كانت شركتك تستخدم Sitecore، خاصةً مع امتدادات Sitecore PowerShell، فنحن نوصي بتحديث نظام إدارة المحتوى في أقرب وقت ممكن. ووفقًا لأوصاف NIST، تؤثر الثغرة الأمنية CVE-2025-34509 على إصدارات Sitecore Experience Manager وExperience Platform من 10.1 إلى 10.1.4 rev. 011974 PRE؛ وجميع متغيرات 10.2؛ من 10.3 حتى 10.3.3 rev. 011967 PRE؛ ومن 10.4 حتى 10.4.1 rev. 011941 PRE. وتوجد الثغرة الأمنية CVE-2025-34510 في إصدارات Experience Manager وExperience Platform وExperience Commerce من 9.0 حتى 9.3، ومن 10.0 حتى 10.4. وأخيرًا، تؤثر الثغرة الأمنية CVE-2025-34511 على جميع إصدارات Sitecore PowerShell Extensions حتى الإصدار 7.0.

يزعم الباحثون الذين اكتشفوا هذه الثغرات الأمنية أنهم كانوا على دراية بأربع ثغرات أمنية أخرى أكثر خطورة. ومع ذلك، بما أن التصحيحات ليست جاهزة بعد، فقد قالوا إنهم سيكشفون عن هذه الثغرات الأمنية لاحقًا. وبناءً عليه، نوصي بمتابعة التحديثات القادمة من مطوري Sitecore.

النصائح

برمجيات تنقيب مخفية بداخل جووجل بلاي ستور!

عندما يصبح جهازك بطىء، يلوم العديد من المستخدمين البرمجيات الخبيثة والفيروسات. ولكن عندما يصبح هاتفك الذكي بطيء عادة ما تلوم البطارية او نظام التشغيل وعندها تريد شراء هاتف جديد! وربما يكون سبب هذه المشكلة شيء اخر تماماً!  برمجيات التنقيب المخفية!