CVE-2019-9874

Опубликовано: 31 мая 2019

Источник: nvd

CVSS3: 9.8

CVSS2: 7.5

EPSS Высокий

Описание

Deserialization of Untrusted Data in the Sitecore.Security.AntiCSRF (aka anti CSRF) module in Sitecore CMS 7.0 to 7.2 and Sitecore XP 7.5 to 8.2 allows an unauthenticated attacker to execute arbitrary code by sending a serialized .NET object in the HTTP POST parameter __CSRFTOKEN.

Ссылки

https://dev.sitecore.net/Downloads.aspx
Product
Vendor Advisory
https://www.synacktiv.com/blog.html
Third Party Advisory
https://www.synacktiv.com/ressources/advisories/Sitecore_CSRF_deserialize_RCE.pdf
Exploit
Patch
Third Party Advisory
https://dev.sitecore.net/Downloads.aspx
Product
Vendor Advisory
https://www.synacktiv.com/blog.html
Third Party Advisory
https://www.synacktiv.com/ressources/advisories/Sitecore_CSRF_deserialize_RCE.pdf
Exploit
Patch
Third Party Advisory
https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2019-9874
US Government Resource

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:sitecore:cms:*:*:*:*:*:*:*:*

Версия от 7.0 (включая) до 7.2 (включая)

cpe:2.3:a:sitecore:experience_platform:*:*:*:*:*:*:*:*

Версия от 7.5 (включая) до 8.2 (включая)

EPSS

Процентиль: 99%

0.75396

Высокий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-502

Связанные уязвимости

GHSA-wfwm-vf76-3692

CVSS3: 9.8

github

больше 3 лет назад

BDU:2025-14503

CVSS3: 9.8

fstec

почти 7 лет назад

Уязвимость модуля Sitecore.Security.AntiCSRF системы управления контентом Sitecore CMS и Sitecore XP, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 99%

0.75396

Высокий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-502