Revenir aux alertes

Bulletin d'alerte

Vulnérabilité dans les produits Sitecore

septembre 2025

Résumé

Le 4 septembre 2025, la CISA (Agence de Cybersécurité et de Sécurité des Infrastructures) a alerté sur une faille de sécurité affectant plusieurs produits Sitecore.

Référencée sous CVE-2025-53690, Cette faille permet à un attaquant d’envoyer des données modifiées à un serveur Sitecore qui utilise par défaut une clé de sécurité standard. Grâce à cette faiblesse, l’attaquant peut faire exécuter son propre code sur le serveur, ce qui peut entraîner la prise de contrôle, la fuite d’informations, voire l’interruption du service.

Solutions

Il est conseillé de suivre les instructions des éditeurs Sitecore pour appliquer les correctifs et les mitigations recommandés.

La faille est activement exploitée : Oui

 

Details techniques

Score CVSS : 9.0

EPSS : 0.04%

Risques : Exécution de code à distance (RCE)

 

Systèmes affectés

Produits et versions concernées (versions vulnérables) 

    • Sitecore Experience Manager (XM) 0 jusqu’à 9.0
    • Sitecore Experience Platform (XP) 0 jusqu’à 9.0

 

Documentation

  • Bulletin de sécurité de Sitecore

https://support.sitecore.com/kb?id=kb_article_view&sysparm_article=KB1003865

  • Nist Detail CVE

https://nvd.nist.gov/vuln/detail/CVE-2025-53690

  • CVE Details

https://www.cvedetails.com/cve/CVE-2025-53690/

  • Reference CVE

https://www.cve.org/CVERecord?id=CVE-2025-53690

  • CWE

https://www.cvedetails.com/cwe-details/502/Deserialization-of-Untrusted-Data.html

Signaler un incident de sécurité en remplissant ce formulaire. Notre équipe vous recontactera dans les plus brefs délais.

« * » indique les champs nécessaires

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.
RGPD*