近日披露的 Sitecore 體驗平臺關鍵漏洞（CVE-2025-27218）允許未經身份驗證的攻擊者在未打補丁的系統上執行任意代碼。該漏洞源于不安全的數據反序列化操作，影響Sitecore 體驗管理器（XM）和體驗平臺（XP）8.2至10.4版本，這些版本在安裝補丁KB1002844之前均存在風險。

安全公司Assetnote發現了這一漏洞，該漏洞利用了Sitecore對已棄用的BinaryFormatter類的錯誤使用，從而繞過身份驗證檢查并部署惡意負載。

Sitecore 零日漏洞的技術細節

該漏洞位于MachineKeyTokenService.IsTokenValid方法中，該方法使用Convert.Base64ToObject對ThumbnailsAccessToken HTTP頭中的不受信任數據進行反序列化。關鍵問題在于，反序列化操作發生在解密之前，這使得攻擊者能夠直接將精心構造的負載注入到處理流程中。

攻擊者通過使用ysoserial.net等工具生成惡意的序列化對象，并利用WindowsIdentity gadget鏈來執行操作系統命令。例如，以下負載可以創建一個文件以確認代碼執行：

生成的Base64編碼負載被插入到ThumbnailsAccessToken頭中。Sitecore的AuthenticateThumbnailsRequest HTTP處理器（屬于httpRequestBegin管道）會在沒有身份驗證檢查的情況下解析該頭，導致立即進行反序列化并激活負載。

漏洞的廣泛影響與風險

Sitecore為全球超過12,000個企業數字平臺提供支持，因此該漏洞具有系統性風險：

• 無需身份驗證的遠程代碼執行（RCE）：利用此漏洞無需任何憑證，使得大規模掃描和攻擊自動化成為可能。
• 完全服務器控制：成功攻擊將授予IIS APPPOOL\Sitecore權限，允許橫向移動和數據泄露。
• 業務中斷：惡意攻擊者可能篡改網站、注入惡意軟件或破壞CMS操作。

Assetnote的分析指出，Sitecore對BinaryFormatter的錯誤實現（微軟已明確警告不應使用此類）創造了一個本可避免的攻擊面。Sitecore通過此機制序列化字節數組的行為引入了不必要的風險，而解密步驟的順序錯誤則進一步加劇了問題。

緩解措施與建議

Sitecore已發布補丁來修復CVE-2025-27218，并敦促客戶采取以下措施：

• 立即升級到Sitecore 10.4或應用安全補丁。
• 檢查HTTP管道中是否存在未經授權的BinaryFormatter使用。
• 監控ThumbnailsAccessToken頭的異常活動。

對于無法立即打補丁的組織，微軟建議強制執行Serialization Binder限制，或通過運行時配置完全禁用BinaryFormatter。

這一事件凸顯了安全反序列化實踐中的持續挑戰。盡管自2017年以來，人們對BinaryFormatter的風險已有廣泛認知，但其在企業軟件中的持續使用表明漏洞研究與開發人員教育之間仍存在差距。截至2025年3月6日，尚未確認有野外利用案例，但未打補丁的系統仍面臨嚴重威脅。使用Sitecore的組織必須優先修復此漏洞，以防大規模數據泄露。