Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2026-00300

Опубликовано: 28 фев. 2025
Источник: fstec
CVSS3: 8.2
CVSS2: 8.5
EPSS Средний

Описание

Уязвимость систем управления контентом Sitecore Experience Manager (XM) и Experience Platform (XP) связана с использованием жестко закодированных учетных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к учетной записи пользователя с правами администратора

Вендор

Sitecore

Наименование ПО

Sitecore Experience Manager
Sitecore Experience Platform

Версия ПО

от 10.1 до 10.1.4 rev. 011974 PRE (Sitecore Experience Manager)
10.2 (Sitecore Experience Manager)
от 10.3 до 10.3.3 rev. 011967 PRE (Sitecore Experience Manager)
от 10.4 до 10.4.1 rev. 011941 PRE (Sitecore Experience Manager)
от 10.1 до 10.1.4 rev. 011974 PRE (Sitecore Experience Platform)
10.2 (Sitecore Experience Platform)
от 10.3 до 10.3.3 rev. 011967 PRE (Sitecore Experience Platform)
от 10.4 до 10.4.1 rev. 011941 PRE (Sitecore Experience Platform)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,2)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://support.sitecore.com/kb?id=kb_article_view&sysparm_article=KB1003667

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 94%
0.14459
Средний

8.2 High

CVSS3

8.5 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-34509

CVSS3: 7.5
nvd
8 месяцев назад

Sitecore Experience Manager (XM) and Experience Platform (XP) versions 10.1 to 10.1.4 rev. 011974 PRE, all versions of 10.2, 10.3 to 10.3.3 rev. 011967 PRE, and 10.4 to 10.4.1 rev. 011941 PRE contain a hardcoded user account. Unauthenticated and remote attackers can use this account to access administrative API over HTTP.

github логотип

GHSA-g93f-92gj-4q4x

CVSS3: 8.2
github
8 месяцев назад

Sitecore Experience Manager (XM) and Experience Platform (XP) versions 10.1 to 10.1.4 rev. 011974 PRE, all versions of 10.2, 10.3 to 10.3.3 rev. 011967 PRE, and 10.4 to 10.4.1 rev. 011941 PRE contain a hardcoded user account. Unauthenticated and remote attackers can use this account to access administrative API over HTTP.

EPSS

Процентиль: 94%
0.14459
Средний

8.2 High

CVSS3

8.5 High

CVSS2