Luka w Kentico Xperience umożliwiająca atak Path Traversal

Wysokie ryzyko zdalnego wykonania kodu w Kentico Xperience do wersji 13.0.178. Zalecane szybkie aktualizacje i ograniczenia dostępu.
CVE-2025-2749CVSS 7.2CISA KEVKnown Exploited

Luka w Kentico Xperience umożliwiająca atak Path Traversal

Wysokie ryzyko zdalnego wykonania kodu w Kentico Xperience do wersji 13.0.178. Zalecane szybkie aktualizacje i ograniczenia dostępu.

CVSS
7.2 HIGH
EPSS
88.87%
Aktywnie wykorzystywana
tak
Produkt
Kentico Xperience

Co wiadomo

W Kentico Xperience wykryto lukę pozwalającą uwierzytelnionym użytkownikom Staging Sync Server na przesyłanie dowolnych plików do lokalizacji określonych ścieżek, co prowadzi do ataku path traversal i zdalnego wykonania kodu. Luka dotyczy wersji do 13.0.178 włącznie.

Wpływ biznesowy

Atakujący z uprawnieniami uwierzytelnionego użytkownika mogą przesłać i wykonać złośliwy kod na serwerze, co zagraża integralności i dostępności systemu. Wykorzystanie tej luki może skutkować przejęciem kontroli nad infrastrukturą oraz wyciekiem danych, co stanowi poważne ryzyko dla operacji biznesowych.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji i poprawek od producenta Kentico oraz ich wdrożenie. W międzyczasie ograniczyć dostęp do funkcji Staging Sync Server tylko do zaufanych użytkowników, monitorować logi systemowe pod kątem podejrzanej aktywności oraz przeprowadzić ocenę ryzyka i priorytetyzację działań zabezpieczających.

Źródła