CVE-2021-42237

Суть уязвимости

Уязвимость (CVE-2021-42237) в Sitecore XP связана с небезопасной десериализацией. Злоумышленник может отправить специально сформированные сериализованные данные в уязвимый компонент системы (например, через веб-запрос). При обработке этих данных Sitecore может выполнить произвольный вредоносный код на сервере с правами учетной записи пула приложений, что приведет к полному контролю над системой.

Как исправить

Установите официальный патч от Sitecore. Уязвимость устранена в следующих версиях: * Sitecore XP 10.0: обновитесь до версии 10.0.1 или выше. * Sitecore XP 9.3: обновитесь до версии 9.3.3 или выше. * Sitecore XP 9.2: обновитесь до версии 9.2.8 или выше. * Sitecore XP 9.1: обновитесь до версии 9.1.10 или выше. * Sitecore XP 9.0: обновитесь до версии 9.0.8 или выше.

Процесс обновления: 1. Скачайте соответствующий пакет обновления (Update package) с портала Sitecore Support. 2. Создайте полную резервную копию вашего окружения (базы данных, файлы веб-сайта). 3. Установите пакет обновления через Sitecore Update Installation Wizard (доступен в панели управления Sitecore Desktop).

Временное решение

Если немедленное обновление невозможно, примите следующие меры: 1. Настройте WAF (Web Application Firewall): Добавьте правила для блокировки HTTP-запросов, содержащих известные шаблоны сериализованных объектов .NET (например, с помощью сигнатур, связанных с TypeNameHandling или JavaScriptSerializer). 2. Ограничьте сетевой доступ: Настройте групповые политики или сетевые ACL, чтобы разрешить входящие HTTP/HTTPS-запросы к серверам Sitecore только с доверенных IP-адресов (например, из внутренней сети или от балансировщика нагрузки). 3. Минимизируйте права учетной записи: Убедитесь, что пул приложений (Application Pool) для сайта Sitecore работает под учетной записью с минимально необходимыми привилегиями (не LocalSystem или Administrator).