CISA warnt vor RCE-Schwachstellen in Sitecore CMS
Zwei sechs Jahre alte Sicherheitslücken in Sitecore CMS und der Experience Platform (XP) stehen derzeit wieder im Fokus – und das mit gutem Grund: Sie werden aktiv ausgenutzt. Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat die beiden Schwachstellen infolgedessen in ihren Katalog bekannter, aktiv ausgenutzter Sicherheitslücken (Known Exploited Vulnerabilities, KEV) aufgenommen.
Dass sich derartige Altlasten noch im Jahr 2025 als sicherheitsrelevant erweisen, ist bemerkenswert – und selten. Dennoch ist dies beim Sitecore CMS und der zugehörigen Experience Platform (XP) nun der Fall. Und nicht nur dort: Es handelt sich um einen von zwei aktuellen Fällen, bei denen verwundbare Systeme nach Jahren wieder in die Schusslinie geraten. Konkret geht es bei Sitecore um die folgenden Einträge im KEV:
● CVE-2019-9874 (CVSS 9,8) – Die Sicherheitskomponente Sitecore.Security.AntiCSRF weist eine kritische Schwachstelle auf, durch die nicht authentifizierte Angreifer Remote Code Execution (RCE) erlangen können. Dies geschieht mittels eines speziell präparierten .NET-Objekts, das über den POST-Parameter __CSRFTOKEN an den Server übermittelt wird.
● CVE-2019-9875 (CVSS 8,8) – Eine thematisch verwandte Lücke im selben Modul, jedoch ist hier eine Authentifizierung erforderlich. Auch sie erlaubt das Einschleusen und Ausführen von Schadcode über ein manipuliertes Objekt.
Zur konkreten Angriffsweise oder zu den mutmaßlichen Angreifern liegen bislang keine belastbaren Erkenntnisse vor. Klar ist jedoch: Bereits am 30. März 2020 informierte Sitecore über aktive Angriffe auf CVE-2019-9874. Für CVE-2019-9875 gibt es dagegen bisher keine Hinweise auf eine Ausnutzung.
Wegen der nachgewiesenen Exploits mindestens einer der beiden Lücken verpflichtet die CISA alle US-Bundesbehörden, spätestens bis zum 16. April 2025 entsprechende Sicherheitsupdates einzuspielen – zum Schutz der eigenen IT-Infrastrukturen.
Auch alte DrayTek-Schwachstellen im Visier
Parallel dazu warnt das Sicherheitsunternehmen GreyNoise vor gezielten Angriffen auf Geräte des Herstellers DrayTek – auch hier werden längst bekannte Schwachstellen wieder aktiv angegriffen.
GreyNoise, spezialisiert auf die Analyse von Bedrohungssignalen, hat konkrete Angriffe auf die folgenden CVEs beobachtet:
● CVE-2020-8515 (CVSS 9,8) – Eine kritische Schwachstelle in verschiedenen DrayTek-Routern, die Remote Code Execution mit Root-Rechten erlaubt. Der Angriff erfolgt über präparierte Shell-Zeichen im Pfad cgi-bin/mainfunction.cgi.
● CVE-2021-20123 (CVSS 7,5) – Eine LFI-Schwachstelle (Local File Inclusion) in DrayTek VigorConnect. Sie erlaubt es nicht authentifizierten Angreifern, beliebige Dateien mit Root-Rechten herunterzuladen – über den Endpunkt DownloadFileServlet.
● CVE-2021-20124 (CVSS 7,5) – Eine weitere LFI-Lücke in DrayTek VigorConnect. Auch hier lassen sich ohne Authentifizierung über den Endpunkt WebServlet Systemdateien mit Root-Rechten extrahieren.
Laut GreyNoise zählen Indonesien, Hongkong und die Vereinigten Staaten zu den häufigsten Zielen bei Angriffen auf CVE-2020-8515. Die beiden LFI-Schwachstellen (CVE-2021-20123 und CVE-2021-20124) betreffen vor allem Systeme in Litauen, den Vereinigten Staaten und Singapur.
Neue Schwachstelle in Webframework Next.js ebenfalls aktiv angegriffen
Gleichzeitig warnt Akamai vor Angriffen auf eine neue Schwachstelle im JavaScript-Webframework Next.js (CVE-2025-29927, CVSS 9,1). Der Fehler erlaubt es, Sicherheitsprüfungen zu umgehen – konkret durch das Fälschen des HTTP-Headers x-middleware-subrequest.
Dieser Header ist für interne Abläufe vorgesehen. Wird er manipuliert, können Schutzmechanismen umgangen und sensible Daten oder Funktionen unberechtigt angesprochen werden. Sicherheitsexperte Raphael Silva von Checkmarx erklärt, dass es sich um eine klassische Autorisierungsumgehung handelt.
Akamai liegen bereits erste Angriffsmuster vor. Besonders auffällig: Angreifer setzen den Header x-middleware-request mit dem repetitiven Wert src/middleware:src/middleware:src/middleware:src/middleware:src/middleware. Damit wird dem System suggeriert, es handele sich um mehrere verschachtelte Subrequests – was gezielt die Weiterleitungslogik von Next.js triggert. Das Angriffsmuster folgt bekannten Proof-of-Concept-Ansätzen.