Résumé
Le 20 octobre 2025, la CISA (Agence de Cybersécurité et de Sécurité des Infrastructures) a signalé une faille de sécurité critique dans Kentico Xperience CMS, une plateforme de gestion de contenu et de marketing numérique utilisée par de nombreuses entreprises pour leurs sites web.
Référencée sous CVE-2025-2747, cette vulnérabilité permet à un attaquant distant de contourner complètement la vérification des identifiants d’un compte administrateur. Elle exploite une faille dans le module Staging Sync Server, responsable de la synchronisation de contenu entre serveurs. Concrètement, un pirate peut envoyer une requête spéciale au serveur SOAP sans fournir de mot de passe : à cause d’une erreur dans une ancienne bibliothèque Microsoft utilisée par le logiciel, cette absence n’est pas rejetée, et l’accès est accordé comme si le mot de passe était correct. Cette faiblesse donne alors à l’attaquant un accès administrateur complet au CMS sans aucune authentification.
Solutions
Il est fortement recommandé de mettre à jour Kentico Xperience vers la version 13.0.179 ou ultérieure, où la faille a été corrigée. Les administrateurs doivent aussi désactiver le module Staging Service s’il n’est pas nécessaire et restreindre son accès réseau.
La faille est activement exploitée : Aucune preuve publique d’exploitation effective.
Détails techniques
Score CVSS : 9.8 (critique)
EPSS : 0.74%
Risques : Contournement de l’authentification, prise de contrôle totale du système, modification du contenu, et possibilité future d’exécution de code à distance.
Systèmes affectés
Produits et versions concernées (versions vulnérables)
- Kentico Xperience CMS jusqu’à la version 13.0.178 incluse, quand le service Staging Sync Server est activé et configuré avec une authentification classique par mot de passe.
Documentation
- Bulletin de sécurité Kentico
Hotfixes Kentico Xperience - Nist Details CVE
NVD CVE-2025-2747 - CVE Details
CVE Details - Reference CVE
CVE-2025-2747 - CWE
CWE-288