CVE-2025-53690 è una vulnerabilità critica zero-day che colpisce Sitecore, una piattaforma di esperienza digitale (DXP) basata su .NET ampiamente utilizzata per siti web aziendali, gestione dei contenuti e coinvolgimento dei clienti.

I principali prodotti Sitecore interessati includono:

• Experience Manager (XM): gestione dei contenuti e personalizzazione.
• Experience Platform (XP): combina CMS con automazione del marketing e analisi.
• Experience Commerce (XC): funzionalità e-commerce integrate con contenuti e marketing.
• Managed Cloud: servizio cloud gestito di Sitecore per clienti enterprise.

Riassunto tecnico

CVE-2025-53690 è una vulnerabilità di deserializzazione ViewState nei prodotti Sitecore, causata dall’uso di chiavi machine di ASP.NET statiche e pubblicamente note.

Queste chiavi sono state esposte nelle guide di distribuzione Sitecore precedenti al 2017. ViewState è un meccanismo ASP.NET che mantiene lo stato dei moduli web tra client e server. Quando le chiavi machine sono prevedibili o conosciute, gli attaccanti possono creare payload ViewState malevoli che, una volta deserializzati, eseguono codice arbitrario sul server.

Raccomandazioni

1. Ruotare immediatamente le chiavi machine di ASP.NET: sostituire qualsiasi chiave machine di esempio o statica nel file web.config con una nuova generata in modo casuale e univoco.
2. Aggiungere un livello di crittografia: crittografare eventuali segreti in chiaro all’interno del file web.config.
3. Restrizione degli accessi: limitare l’accesso al file web.config esclusivamente agli amministratori dell’applicazione.