Luka w Kentico Xperience umożliwiająca atak Path Traversal
Wysokie ryzyko zdalnego wykonania kodu w Kentico Xperience do wersji 13.0.178. Zalecane szybkie aktualizacje i ograniczenia dostępu.
- CVSS
- 7.2 HIGH
- EPSS
- 88.87%
- Aktywnie wykorzystywana
- tak
- Produkt
- Kentico Xperience
Co wiadomo
W Kentico Xperience wykryto lukę pozwalającą uwierzytelnionym użytkownikom Staging Sync Server na przesyłanie dowolnych plików do lokalizacji określonych ścieżek, co prowadzi do ataku path traversal i zdalnego wykonania kodu. Luka dotyczy wersji do 13.0.178 włącznie.
Wpływ biznesowy
Atakujący z uprawnieniami uwierzytelnionego użytkownika mogą przesłać i wykonać złośliwy kod na serwerze, co zagraża integralności i dostępności systemu. Wykorzystanie tej luki może skutkować przejęciem kontroli nad infrastrukturą oraz wyciekiem danych, co stanowi poważne ryzyko dla operacji biznesowych.
Rekomendowane działania administratora
Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji i poprawek od producenta Kentico oraz ich wdrożenie. W międzyczasie ograniczyć dostęp do funkcji Staging Sync Server tylko do zaufanych użytkowników, monitorować logi systemowe pod kątem podejrzanej aktywności oraz przeprowadzić ocenę ryzyka i priorytetyzację działań zabezpieczających.