Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in verschillende Sitecore-producten, zo waarschuwt securitybedrijf Mandiant. Sitecore roept kwetsbare klanten op om verschillende maatregelen te nemen en systemen op verdacht gedrag te controleren. Het probleem (CVE-2025-53690) speelt in Site Experience Platform (XP), Experience Manager (XM), Experience Commerce (XC) en Managed Cloud.

Sitecore Experience Platform is een populair contentmanagementsysteem onder grote bedrijven waaronder de Fortune 500. De verschillende Sitecore-producten maken gebruik van machine keys om de informatie te beschermen die tussen gebruikers van een website en de webserver wordt uitgewisseld en de integriteit van gegevens te beschermen.

Aanvallers maken misbruik van het feit dat verschillende Sitecore-installaties gebruikmaken van een "sample machine key" die in publiek beschikbare handleidingen staat vermeld. Met deze key kan een aanvaller willekeurige code op kwetsbare servers uitvoeren. Mandiant ontdekte een aanval waarbij aanvallers met de key een server wisten te compromitteren. Vervolgens installeerden de aanvallers malware en tools om toegang tot het systeem te behouden en zich lateraal door het netwerk van de aangevallen organisatie te bewegen. Het stelen van data zou het uiteindelijke doel zijn geweest.

Sitecore liet Mandiant weten dat nieuwe installaties van de software automatisch een unieke machine key genereren en dat getroffen klanten zijn ingelicht. De softwareontwikkelaar adviseert klanten met kwetsbare installaties om hun omgeving op verdacht gedrag te controleren, machine keys te roteren en toegang tot een belangrijk configuratiebestand te beperken.