CVE-2025-2749

Суть уязвимости

CVE-2025-2749 представляет собой уязвимость типа Path Traversal (обход путей) в модуле Staging Sync Server системы Kentico Xperience.

Аутентифицированный злоумышленник, имеющий доступ к функционалу синхронизации, может манипулировать путями передачи файлов. Это позволяет загружать произвольные данные в директории, находящиеся за пределами целевой папки (например, в корень веб-приложения или системные папки), что может привести к удаленному выполнению кода (RCE) через перезапись исполняемых файлов или конфигураций.

Как исправить

Основным способом устранения является обновление системы до версии, в которой исправлена логика валидации путей при синхронизации.

Проверьте текущую версию через панель администратора и выполните обновление через NuGet или Kentico Installation Manager (KIM).

Для Kentico Xperience 13:

Update-Package Kentico.Xperience.AspNetCore-WebApp -Version 13.0.178

Для Kentico Xperience 13 (библиотеки):

Update-Package Kentico.Xperience.Libraries -Version 13.0.178

После обновления убедитесь, что в файле web.config или appsettings.json отсутствуют разрешения на запись в критические системные папки для учетной записи, под которой запущен пул приложений.

Временные меры

Если немедленное обновление невозможно, примените следующие защитные меры:

Ограничьте доступ к сервису Staging на сетевом уровне (Firewall), разрешив подключения только с доверенных IP-адресов серверов-источников.

Отключите модуль Staging, если он не используется в данный момент:

<add key="CMSStagingServiceEnabled" value="false" />

Настройте права доступа в файловой системе (NTFS), запретив пользователю пула приложений (IIS AppPool) запись в папки /bin, /App_Code и корень сайта.

Настройте правила фильтрации запросов (Request Filtering) в IIS для блокировки последовательностей обхода путей в URL и теле запросов:

../

..%2f