Por Mid 
Alerta crítica: vulnerabilidad zero-day en Sitecore permite RCE por malas prácticas de configuración
Tiempo estimado de lectura: 5 minutos | Dificultad técnica: Alta
Conclusiones clave
- La vulnerabilidad CVE-2025-53690 permite ejecución remota de código (RCE) en Sitecore debido a configuraciones indebidas.
- La reutilización de claves de ASP.NET de documentación anterior a 2017 expone a sistemas de gestión de contenido a altos riesgos.
- Los atacantes utilizan malware avanzado para realizar reconocimiento y escalada de privilegios tras explotar la vulnerabilidad.
- Se recomienda actualizar Sitecore y revisar configuraciones para mitigar esta vulnerabilidad crítica.
Índice
- Descripción de la vulnerabilidad CVE-2025-53690
- Impacto y riesgos asociados
- Recomendaciones para administradores de Sitecore
- Importancia de seguir buenas prácticas de configuración
Descripción de la vulnerabilidad CVE-2025-53690
Analistas de Mandiant han informado sobre la explotación activa de una vulnerabilidad crítica (CVE-2025-53690) en Sitecore, que permite la ejecución remota de código (RCE) debido a configuraciones heredadas y claves criptográficas de muestra en este ampliamente utilizado CMS empresarial. Esta vulnerabilidad zero-day afecta a Sitecore XM/XP, sistemas esenciales para la gestión de contenidos en grandes corporaciones a nivel global.
El error que se está explotando se origina en la reutilización de claves de ASP.NET presentes en la documentación oficial anterior al año 2017, lo que posibilita ataques complejos y sostenidos. La raíz de esta vulnerabilidad se encuentra en la incorrecta práctica de copiar claves de ejemplo para la configuración de machineKey en implementaciones de Sitecore XP 9.0 y en versiones anteriores de Active Directory 1.4.
Impacto y riesgos asociados
Este fallo permite a los atacantes llevar a cabo la deserialización insegura de ViewState en aplicaciones ASP.NET, logrando ejecutar código de manera remota en servidores que están expuestos a Internet. Una vez dentro, los cibercriminales utilizaron el malware WEEPSTEEL para realizar reconocimiento interno y herramientas como EARTHWORM (túnel de red), DWAGENT (RAT) y SHARPHOUND (reconocimiento AD) para continuar con la escalada de privilegios y movimientos laterales.
La explotación de CVE-2025-53690 pone en riesgo la integridad, confidencialidad y disponibilidad de los sistemas, permitiendo el robo de credenciales, la exfiltración de archivos críticos como web.config, la persistencia mediante malware, la creación de cuentas administrativas locales, además del uso de RDP para una expansión interna. Los sistemas de Sitecore que están desactualizados o mal configurados y que están directamente expuestos a Internet son el foco principal de este vector de ataque.
Recomendaciones para administradores de Sitecore
Sitecore sugiere a los administradores que actualicen a las versiones más recientes, las cuales generan automáticamente machine keys únicas, y cambien de manera inmediata cualquier clave estática que se haya utilizado de forma predeterminada. Además, es recomendable revisar los registros, buscar signos de compromiso, eliminar herramientas de persistencia y fortalecer la seguridad perimetral. También se aconseja restringir el acceso externo al CMS y realizar auditorías periódicas de configuración.
Importancia de seguir buenas prácticas de configuración
CVE-2025-53690 resalta cómo las malas prácticas del pasado pueden dar lugar a ataques devastadores años después. La revisión continua de configuraciones y claves, la aplicación de parches y la realización de hunting proactivo de amenazas son fundamentales para prevenir incidentes significativos en entornos críticos.