Vulnérabilité dans Kentico Xperience CMS

Bulletin d'alerte

Vulnérabilité dans Kentico Xperience CMS

octobre 2025

Résumé

Le 20 octobre 2025, la CISA (Agence de Cybersécurité et de Sécurité des Infrastructures) a signalé une vulnérabilité critique dans le système Kentico Xperience CMS, référencée sous CVE-2025-2746. Cette faille permet de contourner le processus d’authentification via un passage alternatif dans le composant Staging Sync Server. Concrètement, un attaquant peut exploiter un défaut dans la gestion des noms d’utilisateur vides encodés en SHA1 pour se connecter sans mot de passe valide, lui donnant ainsi le pouvoir de prendre le contrôle des objets administratifs du système. Cette vulnérabilité affecte les versions antérieures à la 13.0.178.

Solutions

Il est crucial d’appliquer rapidement les correctifs fournis par Kentico et de suivre les directives du BOD 22-01 pour les services cloud. Si aucune solution n’est disponible, il est recommandé d’arrêter l’utilisation du produit afin de prévenir toute exploitation. À l’heure actuelle, on ignore si la faille est utilisée dans des campagnes de ransomware.

La faille est activement exploitée : Oui

Détails techniques

Score CVSS officiel : 9.8 (Critique)

Score EPSS officiel : 0,1 %

Risques : Cette faille permet à un attaquant distant, sans authentification préalable, de contourner les protections d’accès et de prendre le contrôle complet de l’interface administrative de Kentico Xperience. Cela entraîne un risque majeur de compromission totale des données, modification ou suppression de contenu, voire prise de contrôle intégrale du serveur.

Systèmes affectés

Produits et versions concernées (versions vulnérables)

Kentico Xperience CMS, dans toutes les versions antérieures à la 13.0.178, notamment le composant « Staging Sync Server » qui gère la synchronisation de contenu dans l’environnement de mise en scène.