CVE-2025-2749: Kentico Xperience 路径遍历正在被积极利用

执行摘要

CISA 在 2026 年 4 月 20 日将其添加到 Known Exploited Vulnerabilities (KEV) 目录中，确认了 Kentico Xperience 中的路径遍历漏洞 CVE-2025-2749 正在野外被积极利用。这个漏洞允许经过身份验证的用户将任意数据上传到相对于路径的位置，有效地启用了文件写入操作在预期目录之外。根据 Binding Operational Directive (BOD) 22-01，美国联邦机构必须在 2026 年 5 月 4 日之前按照供应商的指示应用缓解措施或停止使用该产品。截至本文撰写时，NVD 尚未公开分配 CVSS 分数，但 KEV 的包含和强制性的两周修复窗口表明了需要立即关注的严重性。

技术分析

CVE-2025-2749 存在于 Kentico Xperience 的 Staging Sync Server 组件中，这是一个基于 .NET 的内容管理系统 (CMS)，被企业和政府组织广泛使用。根据 CISA 的咨询，这个漏洞是一个路径遍历缺陷，允许经过身份验证的攻击者 —— 特别是那些可以访问到舞台同步机制的 —— 将任意文件上传到预期的舞台目录之外的位置。Staging Sync Server 的设计是为了在环境之间复制内容更改（例如，从开发到生产）；这个漏洞在文件传输操作期间颠覆了路径验证。

这个漏洞需要对舞台同步功能进行身份验证，这限制了攻击面到拥有合法舞台凭证的用户或那些已经破坏了这些账户的人。然而，一旦被利用，攻击者可以写入任意文件 —— 包括 web shells、修改后的配置文件或恶意二进制文件 —— 到服务器文件系统的任意位置。这可能导致远程代码执行、权限提升或持久后门访问，具体取决于写入目标和服务器配置。

截至 2026 年 5 月 17 日，Kentico Xperience 尚未公开发布补丁或详细的咨询。CISA 的 KEV 条目指导组织“按照供应商的指示应用缓解措施”，但供应商的具体指导仍然不清楚。鉴于已经确认的积极利用，缺乏补丁是值得注意的；依赖 Kentico Xperience 的组织应该将这个漏洞视为高优先级风险，并立即实施补偿控制。

缓解措施与建议

鉴于缺乏供应商提供的补丁，防御者应该优先考虑以下补偿控制：

• 将 Staging Sync Server 的网络访问限制在只有受信任的 IP 范围或内部网络。如果舞台服务暴露在互联网上，立即阻止入站访问。
• 审核并轮换所有舞台同步凭证。确保具有舞台权限的账户遵循最小权限原则，并且不跨环境共享。
• 在 Staging Sync Server 上启用详细日志记录，并监控异常文件写入操作，特别是到预期舞台路径之外的目录（例如，wwwroot、bin、App_Code）。
• 部署 Web 应用程序防火墙 (WAF) 规则，以检测和阻止舞台同步请求中的路径遍历模式，例如 ../ 序列或编码变体。
• 如果产品不能被充分隔离或监控，考虑停止使用舞台同步功能或完全停止使用该产品，因为 CISA 的 BOD 22-01 指导允许云服务这样做。

受 BOD 22-01 约束的联邦机构必须在 2026 年 5 月 4 日之前遵守。非联邦组织应该将此视为一个关键的补救时间表，鉴于正在积极利用。