CVE-2025-53693 PoC — Sitecore Experience Manager 安全漏洞

来源

https://github.com/blueisbeautiful/CVE-2025-53693

关联漏洞

标题:Sitecore Experience Manager 安全漏洞 (CVE-2025-53693)
Description:Sitecore Experience Manager（XM）是丹麦Sitecore公司的一个管理软件。 Sitecore Experience Manager 9.0至9.3版本和10.0至10.4版本和Sitecore Experience Platform 9.0至9.3版本和10.0至10.4版本存在安全漏洞，该漏洞源于使用外部控制输入选择类或代码，可能导致缓存投毒。

Description

HTML cache poisoning through unsafe reflections

介绍

### CVE-2025-53693: HTML Cache Poisoning

The XAML handler, located at `/-/xaml/`, exposes several controls that can be accessed without authentication. The `AjaxScriptManager` within these controls allows for the execution of methods via reflection. The `AddToCache` method can be abused to inject arbitrary HTML content into the Sitecore cache, which can then be rendered in other parts of the application.

**Cache Poisoning:** The attacker uses CVE-2025-53693 to poison the cache with a malicious payload.

## Mitigation

Sitecore has released patches for this vulnerabilitie. It is strongly recommended to upgrade to the latest version of Sitecore XP or apply the provided security patches.

## Reference

[1] Watchtowr Labs. (2025). [*Cache Me If You Can: Sitecore Experience Platform Cache Poisoning to RCE*.](https://labs.watchtowr.com/cache-me-if-you-can-sitecore-experience-platform-cache-poisoning-to-rce/)

文件快照

登录后查看神龙缓存的 POC 文件快照

登录查看

备注

1. 建议优先通过来源进行访问。

2. 本地 POC 快照面向订阅用户开放；当原始来源失效或无法访问时，本地镜像作为订阅权益的一部分提供。

查看订阅方案 →

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

CVE-2025-53693 PoC — Sitecore Experience Manager 安全漏洞

来源

关联漏洞

Description

介绍

文件快照

备注

目标达成感谢每一位支持者 — 我们达成了 100% 目标！