güvenlik açıkları
Araştırmacılar, popüler içerik yönetim sistemi Sitecore Experience Platform’da üç güvenlik açığı ortaya çıkardı.
- CVE-2025-34509, bir saldırganın uzaktan bir hizmet hesabı olarak oturum açmasına olanak tanıyan sabit kodlu bir parola (yalnızca tek bir harften oluşan) içerir.
- CVE-2025-34510, kimliği doğrulanmış bir kullanıcının web sitesinin kök dizinine bir ZIP arşivi yüklemesine ve ayıklamasına olanak tanıyan bir Zip Slip güvenlik açığıdır.
- CVE-2025-34511 de kullanıcıların siteye harici dosyalar yüklemesine izin verir, ancak bu kez herhangi bir kısıtlama yoktur.
İlk güvenlik açığını son ikisinden biriyle birleştiren bir saldırgan, Sitecore Experience Platform’u çalıştıran bir sunucuda uzaktan kod yürütme (RCE) elde edebilir.
Şu anda bu güvenlik açıklarının doğal ortamda kullanıldığına dair bir kanıt yok; ancak watchTowr tarafından yayınlanan ayrıntılı analiz, tehdit aktörlerinin bunları her an silah haline getirebilmeleri için yeterli bilgiyi içeriyor.
CVE-2025-34509 – Önceden ayarlanmış bir hesap üzerinden erişim
Sitecore CMS, biri sitecore\ServicesAPI olmak üzere birkaç varsayılan hesap içerir. Doğal olarak, tüm hesapların parolaları karma (ve hatta tuzlanmış) bir biçimde saklanır. Ancak, parola sadece tek bir “b” harfinden oluşuyorsa bu pek bir fark yaratmaz. Böyle bir parola yaklaşık üç saniye içinde deneme yanılma yoluyla kırılabilir.
Özellikle Sitecore’un geliştiricileri varsayılan hesapların değiştirilmemesini tavsiye ederek “Varsayılan bir kullanıcı hesabının düzenlenmesi güvenlik modelinin diğer alanlarını etkileyebilir.” (bu ne anlama geliyorsa) uyarısında bulunuyor. Dolayısıyla, resmi talimatları izleyen site yöneticilerinin bu parolaları değiştirmesi pek olası değildir. Sonuç olarak, bu tür varsayılan hesaplar muhtemelen bu CMS’yi kullanan çoğu web sitesinde mevcuttur.
Bununla birlikte, sitecore\ServicesAPI kullanıcısının atanmış hakları veya rolleri yoktur, bu nedenle standart Sitecore oturum açma arabirimi aracılığıyla kimlik doğrulaması yapmak mümkün değildir. Ancak araştırmacılar, başarılı bir kimlik doğrulaması için gereken veri tabanı kontrolünü atlamanın bir yolunu buldular (ayrıntılar için orijinal araştırmaya bakabilirsiniz). Sonuç olarak, saldırgan geçerli bir oturum çerezi elde eder. Yönetici haklarına hala sahip olunmasa da bu çerez daha fazla saldırı için kullanılabilir.
CVE-2025-34510 – Sitecore’un dosya yükleyicisindeki güvenlik açığı
Sitecore, kimliği doğrulanmış herhangi bir kullanıcının kullanabileceği bir dosya yükleme mekanizmasına sahiptir. Böylece geçerli bir oturum çerezine sahip olan bir saldırgan, bir ZIP arşivini yüklemek ve otomatik olarak ayıklamak için bir HTTP isteği oluşturabilir. CVE-2025-34510’un özü, hatalı girdi sanitizasyonu nedeniyle, kimliği doğrulanmış bir saldırganın bir yol geçişi gerçekleştirebilmesidir. Zip Slip olarak bilinen bu güvenlik açığı türü hakkında daha fazla bilgiyi ZIP dosyası işleme hakkındaki yazımızda bulabilirsiniz. Esasen, saldırgan arşivi herhangi bir konuma (örneğin, web sitesinin kök klasörüne) çıkarabilir. Bu şekilde, saldırgan kendi web kabuğu gibi herhangi bir şeyi yükleyebilir.
CVE-2025-34511 – Sitecore PowerShell Extensions modülünün dosya yükleyicisindeki güvenlik açığı
CVE-2025-34511, Sitecore’a sızmanın alternatif bir yoludur. Bu güvenlik açığı, Sitecore PowerShell Extensions modülünde mevcuttur ve bu modül; örneğin bu CMS için en popüler uzantılardan biri olan Sitecore Experience Accelerator gibi, Sitecore uzantılarının birçoğunun çalışması için gereklidir.
Esasen, bu güvenlik açığı CVE-2025-34510 ile aynı şekilde çalışır, sadece biraz daha basittir. Sitecore PowerShell uzantısı, kimliği doğrulanmış bir kullanıcı tarafından istismar edilebilecek kendi dosya yükleme mekanizmasına da sahiptir. HTTP istekleri aracılığıyla, bir saldırgan CMS’ye herhangi bir uzantıya sahip herhangi bir dosya yükleyebilir ve web sitesindeki herhangi bir dizine kaydedebilir. Bu, özel bir ZIP arşivi ve yolu hazırlamaya gerek olmadığı ve sonucun temelde aynı olduğu anlamına gelir: Bir web kabuğu yüklemesi.
Sitecore Experience Platformu’nda saldırılara karşı nasıl korunulur?
Bu üç güvenlik açığı için yamalar Mayıs 2025’te yayınlanmıştır. Şirketiniz Sitecore’u, özellikle Sitecore PowerShell Extensions ile birlikte kullanıyorsa, CMS’yi mümkün olan en kısa sürede güncellemenizi öneririz. NIST açıklamalarına göre CVE-2025-34509, Sitecore Experience Manager ve Experience Platform sürümleri 10.1 ila 10.1.4 rev. 011974 PRE; 10.2’nin tüm varyantları; 10.3 ila 10.3.3 rev. 011967 PRE; ve 10.4 ila 10.4.1 rev. 011941 PRE’yi etkilemektedir. CVE-2025-34510, Experience Manager, Experience Platform ve Experience Commerce’in 9.0 ile 9.3 ve 10.0 ile 10.4 sürümlerinde mevcuttur. Son olarak, CVE-2025-34511 Sitecore PowerShell Extensions’ın 7.0 sürümüne kadar olan tüm sürümlerini etkilemektedir.
Bu açıkları keşfeden araştırmacılar, çok daha ilginç dört güvenlik açığından daha haberdar olduklarını iddia ediyorlar. Ancak, yamalar henüz hazır olmadığından, bu güvenlik açıklarını daha sonra açıklayacaklarını söylediler. Bu nedenle, Sitecore geliştiricilerinden gelecek güncellemeleri takip etmenizi öneriyoruz.
