CVE-2025-53690 es una vulnerabilidad crítica de día cero que afecta a Sitecore, una plataforma de experiencia digital (DXP) basada en .NET ampliamente utilizada para sitios web corporativos, gestión de contenidos y compromiso del cliente.
Los principales productos de Sitecore afectados incluyen:
- Experience Manager (XM): gestión de contenidos y personalización.
- Experience Platform (XP): combina CMS con automatización de marketing y análisis.
- Experience Commerce (XC): funcionalidades de comercio electrónico integradas con contenidos y marketing.
- Managed Cloud: servicio en la nube gestionado de Sitecore para clientes empresariales.
| Producto | Sitecore |
| Fecha | 2025-09-09 13:16:16 |
Resumen técnico
CVE-2025-53690 es una vulnerabilidad de deserialización de ViewState en los productos de Sitecore, causada por el uso de claves de máquina (machine keys) de ASP.NET estáticas y públicamente conocidas.
Estas claves fueron expuestas en las guías de implementación de Sitecore anteriores a 2017. ViewState es un mecanismo de ASP.NET que mantiene el estado de los formularios web entre el cliente y el servidor. Cuando las claves de máquina son predecibles o conocidas, los atacantes pueden crear cargas útiles (payloads) de ViewState maliciosas que, una vez deserializadas, ejecutan código arbitrario en el servidor.
Recomendaciones
- Rotar inmediatamente las claves de máquina de ASP.NET: sustituir cualquier clave de máquina de ejemplo o estática en el archivo web.config por una nueva generada de forma aleatoria y única.
- Añadir una capa de cifrado: cifrar cualquier secreto en texto plano dentro del archivo
web.config. - Restricción de accesos: limitar el acceso al archivo
web.configexclusivamente a los administradores de la aplicación.
[Callforaction-THREAT-Footer]