CVE-2025-27218

Nome do Software Vulnerável e Versões Afetadas Sitecore Experience Manager (XM) e Experience Platform (XP) versões 8.2 até 10.4 anteriores ao KB1002844

Descrição O problema reside nas práticas de desserialização inseguras dentro do método MachineKeyTokenService.IsTokenValid, que lida inadequadamente com dados não confiáveis provenientes do cabeçalho HTTP ThumbnailsAccessToken. Isso permite que invasores executem código arbitrário em sistemas vulneráveis sem autenticação. A vulnerabilidade afeta várias versões do Sitecore Experience Manager (XM) e Experience Platform (XP) e pode levar ao comprometimento total do servidor e exfiltração de dados. Com mais de 12.000 plataformas digitais empresariais em todo o mundo utilizando o Sitecore, as implicações desta vulnerabilidade são significativas.

Recomendações Para as versões 8.2 até 10.4 anteriores ao KB1002844 do Sitecore Experience Manager (XM) e Experience Platform (XP), aplique o patch KB1002844 para resolver o problema. Como solução temporária, considere desabilitar o método MachineKeyTokenService.IsTokenValid ou restringir o acesso ao cabeçalho HTTP ThumbnailsAccessToken até que um patch esteja disponível. Além disso, revise os protocolos de segurança para reforçar as defesas contra vulnerabilidades semelhantes no futuro.