CVE-2025-2746

Суть уязвимости

• Уязвимость CVE-2025-2746 в Kentico Xperience CMS классифицируется как обход аутентификации с использованием альтернативного пути или канала (CWE-288).
• Архитектурный недостаток позволяет злоумышленнику манипулировать маршрутизацией запросов или использовать нестандартные пути для прямого обращения к административным эндпоинтам.
• При эксплуатации уязвимости система не применяет стандартные механизмы проверки сессии и учетных данных к этим альтернативным путям.
• Это дает неавторизованному атакующему возможность получить контроль над административными объектами CMS.
• Успешная атака может привести к полной компрометации веб-приложения, несанкционированному изменению контента, краже баз данных и внедрению вредоносного кода (RCE) через функционал администратора.

Как исправить

• Единственным гарантированным методом устранения уязвимости является установка официального обновления (Hotfix) от разработчиков Kentico.
• Проверьте текущую версию вашей CMS в административной панели или в файлах конфигурации проекта.
• Перейдите на официальный портал Kentico и определите номер безопасной версии (Hotfix), в которой закрыта CVE-2025-2746 для вашей ветки продукта.
• Обновите NuGet-пакеты вашего проекта до безопасной версии. Для современных проектов (ASP.NET Core) выполните команду:

dotnet add package Kentico.Xperience.WebApp --version <Safe_Version>

• Для классических проектов (ASP.NET Framework) используйте консоль диспетчера пакетов:

Update-Package Kentico.Xperience.Libraries -Version <Safe_Version>

• Очистите кэш и пересоберите проект:

dotnet build

• Разверните обновленное приложение на тестовом контуре (Staging) и проведите регрессионное тестирование административной панели.
• После успешного тестирования выполните деплой пропатченной версии на продуктивный сервер (Production).

Временные меры

• Если оперативная установка патча невозможна, необходимо жестко ограничить доступ к административному интерфейсу на сетевом уровне.
• Настройте Web Application Firewall (WAF) на блокировку любых запросов к путям /admin, /cmsctx и их вариациям от недоверенных IP-адресов.
• Убедитесь, что на вашем сервере IIS установлен модуль ограничения по IP-адресам (IP and Domain Restrictions):

Install-WindowsFeature Web-IP-Security

• Запретите доступ к директории администратора для всех неавторизованных адресов на уровне IIS (замените "Default Web Site" на имя вашего сайта):

Set-WebConfigurationProperty -Filter /system.webServer/security/ipSecurity -Name allowUnlisted -Value $false -Location "Default Web Site/admin"

• Добавьте IP-адрес вашего офиса или VPN-шлюза (например, 198.51.100.50) в белый список для доступа к панели управления:

Add-WebConfigurationProperty -Filter /system.webServer/security/ipSecurity -Name "." -Value @{ipAddress="198.51.100.50";allowed="true"} -Location "Default Web Site/admin"

• Настройте алерты в вашей SIEM-системе на аномальные HTTP-запросы (особенно методы POST/PUT) к внутренним API Kentico и путям администрирования, исходящие от внешних IP-адресов.