CVE-2025-34509

Nome do Software Vulnerável e Versões Afetadas Sitecore Experience Manager (XM) e Experience Platform (XP) versões 10.1 até 10.1.4 rev. 011974 PRE Sitecore Experience Manager (XM) e Experience Platform (XP) versões 10.2 Sitecore Experience Manager (XM) e Experience Platform (XP) versões 10.3 até 10.3.3 rev. 011967 PRE Sitecore Experience Manager (XM) e Experience Platform (XP) versões 10.4 até 10.4.1 rev. 011941 PRE

Descrição O software afetado contém uma conta de usuário embutida no código (hardcoded). Atacantes remotos e não autenticados podem aproveitar essa conta para acessar a API administrativa via HTTP. A conta embutida no código é nomeada 'ServicesAPI' com a senha 'b'. Isso permite uma cadeia de execução remota de código pré-autenticação.

Recomendações Sitecore Experience Manager (XM) e Experience Platform (XP) versões 10.1 até 10.1.4 rev. 011974 PRE: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. Sitecore Experience Manager (XM) e Experience Platform (XP) versões 10.2: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. Sitecore Experience Manager (XM) e Experience Platform (XP) versões 10.3 até 10.3.3 rev. 011967 PRE: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. Sitecore Experience Manager (XM) e Experience Platform (XP) versões 10.4 até 10.4.1 rev. 011941 PRE: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.