← Menace / CVE-2019-9874
CVE-2019-9874
Critique
Sitecore CMS and Experience Platform (XP) Deserialization Vulnerability.
Sitecore · CMS and Experience Platform (XP)
Exploitabilité (EPSS)
83.9 %
percentile mondial 100
Sévérité (CVSS)
9.8
CVSS v3.1
Ajoutée au KEV
26 mars 2025
échéance CISA · 16 avr. 2025
Description
Sitecore CMS and Experience Platform (XP) contain a deserialization vulnerability in the Sitecore.Security.AntiCSRF module that allows an unauthenticated attacker to execute arbitrary code by sending a serialized .NET object in the HTTP POST parameter __CSRFTOKEN.
Action requise (CISA)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
Familles de faiblesses
CWE-502 · Désérialisation de données non fiables
Signal de priorisation (d’inspiration SSVC)
Examiner rapidement
Exploitation
Active (catalogue KEV)
Active (catalogue KEV)
Automatisable
Inconnu
Inconnu
Impact technique
Total
Total
Une orientation, pas une décision : le 4ᵉ facteur SSVC (impact mission/société) dépend du contexte de votre organisation. Méthode ↗