研究人员在 Kentico 的 Xperience 内容管理系统（CMS）中发现了严重漏洞，攻击者可利用这些漏洞完全攻陷受影响的系统。

这些漏洞被标识为 WT-2025-0006、WT-2025-0007 和 WT-2025-0011，它们可被串联利用，在常见配置的系统上实现未经身份验证的远程代码执行。

watchTowr Labs 的研究人员识别出两个不同的身份验证绕过漏洞和一个身份验证后的远程代码执行漏洞。

这些问题影响启用了暂存服务且配置为使用用户名 / 密码身份验证而非 X.509 证书的 Kentico Xperience 13 版本安装。

Kentico Xperience CMS 身份验证绕过漏洞

第一个身份验证绕过漏洞（WT-2025-0006）利用了 CMS 在其暂存服务 API 中处理身份验证的逻辑缺陷。

通过操纵 SOAP 请求，使用精心构造的用户名令牌进行密码摘要身份验证，攻击者无需有效凭据即可获得管理员权限。

第二个身份验证绕过漏洞（WT-2025-0011）更令人担忧，它仅需一个用户名，根本不需要密码。

一旦通过身份验证，攻击者就可以利用身份验证后的远程代码执行漏洞（WT-2025-0007），方法是滥用媒体文件上传功能中的路径遍历缺陷。这使得攻击者能够将文件写入服务器文件系统的任意位置。

这些漏洞源于多个问题：第一个绕过漏洞的出现是因为当提供无效用户名时，系统返回空字符串而非抛出异常。

结合基于哈希的密码验证，这就造成了身份验证绕过。

第二个绕过漏洞利用了微软已过时的 Web Services Enhancement 3.0 库中的逻辑缺陷，在该库中，系统无法使用 “SendNone” 密码选项验证令牌。

远程代码执行漏洞的存在是因为 CheckAndEnsureFilePath 方法未能正确验证文件路径，使得攻击者能够在预期目录之外写入文件。

根据 watchTowr Labs 的报告，这些漏洞 “可轻易串联以实现远程代码执行”，并让攻击者 “完全控制 CMS”。

Kentico 在多个更新中解决了这些问题：WT-2025-0006 在 Kentico Xperience 13.0.173 版本中得到修复；WT-2025-0011 和 WT-2025-0007 在 Kentico Xperience 13.0.178 版本中得到修复。

安全团队可以使用 watchTowr 在 GitHub 上发布的检测工具来验证其系统是否存在漏洞。

研究人员还警告不要使用微软的 Web Services Enhancement 3.0 库，称：“请不要将已过时的微软 Web Services Enhancement 3.0 用于任何用途，否则你会遭受重创。”

强烈建议各组织立即升级到最新版本，尤其是在暂存服务使用用户名 / 密码身份验证的情况下。

文章原文链接:https://www.anquanke.com/post/id/305171