Nu patchen! Aanvallen op CMS Sitecore Experience Platform waargenomen


Als het content management systeem (CMS) met data-analysefuncties Sitecore Experience Platform (Sitecore XP) in een bedrijf wordt gebruikt, dienen beheerders de software up-to-date te brengen. Anders zouden aanvallers systemen onder hun volledige controle kunnen brengen.

Bedrijven uit de Fortune 500-lijst over de hele wereld vertrouwen op Sitecore XP. Het CMS draait bijvoorbeeld als container. Het Australian Cyber ​​Security Center (ACSC) waarschuwt voor de huidige aanvallen op bepaalde versies in één bericht. Ze beoordelen de situatie als “kritisch” een.

De basis van de aanvallen zou proof-of-concept code zijn, waaruit de aanvallers nu het beveiligingslek blootleggen (CVE-2021-42237″hoog“). Aanvallen moeten op afstand en zonder authenticatie mogelijk zijn. In een rapport Beveiligingsonderzoekers van Assetnote hebben details van de kwetsbaarheid verzameld.

De oorsprong van de kwetsbaarheid is te vinden in een onveilige deserialisatie in het Report.ashx-bestand. Dit is nodig voor de presentatie van het Executive Insight Dashboard op basis van Microsoft’s Silverlight. Volgens een waarschuwing van de ontwikkelaar is de kwetsbaarheid gemeld de volgende versies getroffen:

  • Sitecore XP 7.5 Eerste release – Sitecore XP 7.5 Update-2
  • Sitecore XP 8.0 Initiële release – Sitecore XP 8.0 Update-7
  • Sitecore XP 8.1 Initiële release – Sitecore XP 8.1 Update-3
  • Sitecore XP 8.2 Initiële release – Sitecore XP 8.2 Update-7

Sitecore stelt dat alle systemen (single-instance, multi-instance, cloud-omgevingen en Sitecore-servers) kwetsbaar zijn bij deze via internet toegankelijke versies. De versies tot en met Sitecore XP 7.2 Update-6 en vanaf Sitecore XP 9.0 mogen niet kwetsbaar zijn.

Om systemen te beveiligen, moeten beheerders met Sitecore XP 7.5.0 tot 7.5.2 Sitecore XP 9.0.0 installeren. Als alternatief is een upgrade naar Sitecore XP 8.0.0 naar 8.2.7 ook mogelijk. In dit geval moeten beheerders het bestand Report.ashx nog steeds verwijderen.


(van)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: