更新時間:2026/04/21 17:04:17
發佈時間:2026/04/21 17:04:17
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、漏洞說明[1]
Kentico Xperience存在一項遠端程式碼執行漏洞(CVE-2025-2749)。該漏洞允許具備Staging Sync Server存取權限的已驗證使用者,將任意資料上傳至相對路徑位置,進而導致路徑穿越(Path Traversal)及任意檔案上傳。攻擊者得以上傳於伺服器端執行之內容,進而造成遠端程式碼執行。
二、已揭露攻擊活動說明
1. CISA已納入漏洞利用清單。[2]
2. watchTowr已發布技術分析報告。[3]
▶ 漏洞資訊
⌵
名稱:
CVE-2025-2749
描述:
使用版本:CVSS 3.1
分析分數:7.2
參考來源:NVD
▶ 影響平台
⌵
影響平台-系統:
1. Kentico Xperience 13.0.178(含)以前版本受影響,建議升級至官方最新修補程式版本。[4]
▶ 建議措施
⌵
1. 官方已發布修補程式,建議會員依據單位內漏洞管理機制進行相關作業。
▶ 參考資訊
⌵
| 編號 | 網址 | 說明 |
|---|---|---|
| 1 | https://nvd.nist.gov/vuln/detail/CVE-2025-2749 | NVD |
| 2 | https://www.cisa.gov/known-exploited-vulnerabilities-catalog | CISA |
| 3 | https://labs.watchtowr.com/bypassing-authentication-like-its-the-90s-pre-auth-rce-chain-s-in-kentico-xperience-cms | watchTowr |
| 4 | https://devnet.kentico.com/download/hotfixes | Kentico(修補程式) |
情資編號:
FISAC-200-202604-0009
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞