Одна буква — и всё: критическая дыра в Sitecore грозит тысячам компаний

Один символ. Всего один. Этого оказалось достаточно, чтобы злоумышленники получили путь к полному захвату серверов на Sitecore — одной из самых распространённых CMS-платформ в корпоративной среде. Специалисты из watchTowr обнаружили цепочку из трёх уязвимостей, которые открывают несанкционированный доступ к инфраструктуре компаний без ввода логина и пароля. Под удар попали версии Sitecore XP с 10.1 по 10.4, включая те, что используются банками, авиакомпаниями и госсектором.

Главной дверью в систему стала служебная учетка sitecore\ServicesAPI, чей пароль по умолчанию — просто буква «b». Благодаря специфике аутентификации через /sitecore/admin, сайт корректно выдает токен доступа даже при отсутствии прав. Это позволяет обойти стандартные ограничения и получить доступ к защищённым API. Подробности атаки опубликованы 17 июня в техническом блоге watchTowr, сразу после снятия эмбарго на публикацию.

Следующий этап — уязвимость Zip Slip, связанная с обработкой архивов в мастере загрузки. Через неё можно внедрить веб-шелл в корень сайта, замаскировав вредоносный файл под обычный загрузочный. А третья брешь в компоненте PowerShell Extensions даёт ещё более прямой способ писать любые файлы в любую папку — минуя фильтры, права и здравый смысл.

Всё вместе это превращается в удобный сценарий RCE-атаки, не требующий знания ни архитектуры, ни учётных данных. Пока неизвестно, были ли зафиксированы реальные атаки на базе найденных уязвимостей, но с публикацией всех деталей вопрос уже стоит не в том, «если», а «когда». Обновления вышли в мае, но с момента снятия эмбарго риск стал гораздо выше — владельцам Sitecore стоит поторопиться.