Các nhà nghiên cứu bảo mật tại watchTowr Labs đã phát hiện một chuỗi lỗ hổng nghiêm trọng trong Sitecore Experience Platform, cho phép kẻ tấn công kiểm soát hoàn toàn các website doanh nghiệp mà không cần xác thực. Chuỗi lỗ hổng này, bao gồm cả lỗ hổng Sitecore RCE, có thể dẫn đến việc chiếm quyền điều khiển hệ thống từ xa.

Chuỗi Lỗ Hổng CVE Nghiêm Trọng trong Sitecore Experience Platform

Nghiên cứu của watchTowr Labs cho thấy các đối tượng xấu có thể đầu độc hệ thống bộ nhớ đệm (cache), leo thang đặc quyền và thực thi mã từ xa trên các hệ thống mà hàng nghìn tổ chức trên toàn thế giới đang sử dụng. Đây là một kịch bản tấn công mạng toàn diện, đe dọa nghiêm trọng đến an ninh thông tin.

Lỗ Hổng Cache Poisoning Không Cần Xác Thực (CVE-2025-53693)

Lỗ hổng đáng lo ngại nhất, được định danh là CVE-2025-53693, tập trung vào kỹ thuật đầu độc bộ nhớ đệm HTML, không yêu cầu thông tin xác thực của người dùng để thực hiện.

Các nhà nghiên cứu đã phát hiện ra rằng họ có thể khai thác các cơ chế phản ánh không an toàn trong XamlPageHandlerFactory của Sitecore để thao túng nội dung website được lưu trong bộ nhớ đệm. Điều này cho phép kẻ tấn công chèn mã độc vào các trang hợp lệ mà người truy cập không hề hay biết.

Cuộc tấn công nhắm vào hệ thống lưu trữ bộ nhớ đệm của Sitecore thông qua một đường dẫn bị bỏ qua trước đây trong trình xử lý XAML của nền tảng.

Bằng cách tạo các yêu cầu HTTP đặc biệt tới endpoint “/-/xaml/”, kẻ tấn công có thể gọi phương thức AddToCache để ghi đè nội dung HTML hợp lệ trong bộ nhớ đệm bằng các payload độc hại.

Kỹ thuật này đặc biệt nguy hiểm vì nó ảnh hưởng trực tiếp đến nội dung được phân phối cho người truy cập website, khiến việc phát hiện trở nên vô cùng khó khăn. Các khía cạnh chính của lỗ hổng cache poisoning bao gồm:

• Khai thác cơ chế phản ánh không an toàn trong XamlPageHandlerFactory.
• Sử dụng endpoint “/-/xaml/” và phương thức AddToCache để chèn mã độc.
• Gây khó khăn trong việc phát hiện do ảnh hưởng trực tiếp đến nội dung hiển thị.

Điểm làm cho lỗ hổng này đặc biệt nghiêm trọng là việc dễ dàng liệt kê các khóa bộ nhớ đệm (cache keys) khi ItemService API của Sitecore bị lộ ra internet. Cấu hình này được các nhà nghiên cứu nhận thấy là khá phổ biến.

Khi API này có thể truy cập được, kẻ tấn công có thể xác định có hệ thống tất cả các mục có thể lưu trữ trong bộ nhớ đệm trên một website và các khóa bộ nhớ đệm liên quan. Điều này biến một cuộc tấn công “mù” thành một cuộc tấn công được nhắm mục tiêu chính xác.

Ngay cả trong môi trường hạn chế, các nhà nghiên cứu đã phát triển các kỹ thuật để tấn công brute-force các khóa bộ nhớ đệm thông qua tấn công dựa trên thời gian (timing attacks) và phân tích phản hồi.

Khai Thác Remote Code Execution Sau Xác Thực (CVE-2025-53691)

Dựa trên khả năng đầu độc bộ nhớ đệm, các nhà nghiên cứu đã xác định một lỗ hổng thực thi mã từ xa (RCE) sau xác thực (CVE-2025-53691), hoàn thành chuỗi tấn công. Đây là một lỗ hổng Sitecore RCE nguy hiểm, cho phép kẻ tấn công chiếm quyền kiểm soát hoàn toàn hệ thống.

Lỗ hổng này khai thác deserialization không an toàn trong pipeline ConvertToRuntimeHtml của Sitecore. Tại đây, nội dung HTML do người dùng kiểm soát được xử lý mà không có sự xác thực bảo mật thích hợp.

Lỗ hổng nằm ở việc Sitecore sử dụng BinaryFormatter không an toàn để giải mã các đối tượng được mã hóa base64 nhúng trong nội dung HTML.

Kẻ tấn công có thể tạo ra HTML độc hại chứa các gadget deserialization được mã hóa đặc biệt. Khi được xử lý bởi pipeline dễ bị tổn thương, các gadget này sẽ thực thi mã tùy ý trên máy chủ mục tiêu. Đây là một phương pháp hiệu quả để đạt được lỗ hổng Sitecore RCE.

Cuộc tấn công có thể được kích hoạt thông qua chức năng Content Editor của Sitecore. Nó chỉ yêu cầu đặc quyền chỉnh sửa nội dung cơ bản, chứ không phải quyền truy cập quản trị đầy đủ.

Điều đáng lo ngại đặc biệt là “sink” deserialization này dường như là một vấn đề cũ. Sitecore đã cố gắng giải quyết bằng cách loại bỏ các đường dẫn truy cập đến mã dễ bị tổn thương, thay vì khắc phục lỗi bảo mật tiềm ẩn.

Nghiên cứu của watchTowr chứng minh rằng vẫn tồn tại các đường dẫn thay thế để kích hoạt lỗ hổng Sitecore RCE này. Điều này khiến các hệ thống vẫn bị phơi nhiễm ngay cả sau các bản cập nhật bảo mật trước đó.

Tác Động và Phạm Vi Ảnh Hưởng của Lỗ Hổng Sitecore RCE

Các lỗ hổng ảnh hưởng đến Sitecore Experience Platform phiên bản 10.4.1 và có khả năng là các phiên bản cũ hơn. Ước tính có khoảng 22.000 phiên bản Sitecore trên toàn thế giới bị ảnh hưởng, theo dữ liệu quét internet.

Các hệ thống bị ảnh hưởng bao gồm các website được vận hành bởi các doanh nghiệp lớn trên nhiều ngành. Điều này làm cho tác động tiềm tàng của lỗ hổng Sitecore RCE trở nên đáng kể.

Sự kết hợp giữa cache poisoning trước xác thực và thực thi mã sau xác thực đại diện cho một kịch bản xâm phạm hoàn chỉnh. Nó có thể cho phép kẻ tấn công thiết lập quyền truy cập liên tục vào môi trường mục tiêu.

Biện Pháp Khắc Phục và Khuyến Nghị Bảo Mật

Sitecore đã phản hồi kịp thời việc tiết lộ, phát hành các bản vá vào tháng 6 và tháng 7 năm 2025 sau khi nhận được báo cáo lỗ hổng vào tháng 2 và tháng 3. Tuy nhiên, thời gian kéo dài giữa phát hiện và vá lỗi cho thấy sự phức tạp trong việc giải quyết các lỗi bảo mật sâu sắc trong các hệ thống quản lý nội dung doanh nghiệp.

Các tổ chức sử dụng Sitecore Experience Platform nên ngay lập tức xác minh rằng họ đã áp dụng các bản vá bảo mật mới nhất. Đồng thời, cần xem xét lại cấu hình ItemService API của mình để đảm bảo chúng không bị phơi nhiễm không cần thiết với các cuộc tấn công dựa trên internet. Đây là bước quan trọng để tránh các rủi ro từ lỗ hổng Sitecore RCE.

Việc phát hiện này là một lời nhắc nhở rõ ràng về tầm quan trọng của các đánh giá bảo mật thường xuyên cho các thành phần hạ tầng doanh nghiệp quan trọng. Để biết thêm chi tiết kỹ thuật về nghiên cứu này, bạn đọc có thể tham khảo tại Blog của WatchTowr Labs.

Việc thường xuyên cập nhật bản vá và giám sát cấu hình hệ thống là yếu tố then chốt để bảo vệ khỏi các mối đe dọa đang phát triển. Đảm bảo tuân thủ các hướng dẫn bảo mật mới nhất để duy trì an toàn thông tin.