【漏洞资讯】CVE-2021-42237-Sitecore XP 漏洞可导致远程代码执行

漏洞时间:11月16日

 

漏洞介绍

监测到 Sitecore发布安全公告,修复了Sitecore XP中的一个远程代码执行漏洞。

漏洞编号:CVE-2021-42237,漏洞威胁等级:严重。

该漏洞是由于Report.ashx文件中不安全的反序列化导致的远程代码执行,Report.ashx文件用于驱动已在8.0初始版本中弃用的Executive Insight仪表板。

该漏洞无需经过身份验证或特殊配置即可被远程利用来攻击易受攻击的服务器并对其进行完全控制。

漏洞名称
Sitecore XP 漏洞可导致远程代码执行
威胁等级
high
漏洞威胁
Sitecore XP
影响范围
Sitecore XP 7.5 初始版本 - Sitecore XP 7.5 Update-2
Sitecore XP 8.0 初始版本 - Sitecore XP 8.0 Update-7
Sitecore XP 8.1 初始版本 - Sitecore XP 8.1 Update-3
Sitecore XP 8.2 初始版本 - Sitecore XP 8.2 Update-7
漏洞类型
MORE→RCE
利用难度
N/A
漏洞编号
CVE-2021-42237
是否有POC
N/A

 

信息详情

Sitecore Experience Platform (XP) 是一个用 .NET 编写的企业内容管理系统 (CMS),提供了用于内容管理、数字营销以及分析和报告的工具,该 CMS 被企业大量使用,包括许多财富 500 强中的公司。目前,Internet 上有超过 4.5 万个 Sitecore 实例。

监测到 Sitecore发布安全公告,修复了Sitecore XP中的一个远程代码执行漏洞。

漏洞编号:CVE-2021-42237,漏洞威胁等级:严重。

该漏洞是由于Report.ashx文件中不安全的反序列化导致的远程代码执行,Report.ashx文件用于驱动已在8.0初始版本中弃用的Executive Insight仪表板。

该漏洞无需经过身份验证或特殊配置即可被远程利用来攻击易受攻击的服务器并对其进行完全控制。

修复方式

目前此漏洞已经修复,建议受影响用户及时升级更新到Sitecore XP 9.0初始版本或更高版本。

下载链接:https://dev.sitecore.net/

参考链接

secsurcity

dev.sitecore

本文原创,作者:Galaxy,其版权均为Galaxy Lab所有。如需转载,请注明出处:http://galaxylab.pingan.com.cn/%e3%80%90%e6%bc%8f%e6%b4%9e%e8%b5%84%e8%ae%af%e3%80%91cve-2021-42237-sitecore-xp-%e6%bc%8f%e6%b4%9e%e5%8f%af%e5%af%bc%e8%87%b4%e8%bf%9c%e7%a8%8b%e4%bb%a3%e7%a0%81%e6%89%a7%e8%a1%8c/

发表评论

*