Ich bin kürzlich zu WatchTowr gekommen, und es ist daher Zeit - Zeit für meinen ersten WatchTowr Labs Blogpost

Kenticos Xperience CMS stellte sich als vielversprechend heraus und erfüllte mehrere wichtige Kriterien: Dies erfüllt die Kriterien von etwas, das wir als „interessant“ definieren würden, als „interessant“,, dies als „interessant“, die wir definieren würden, als „interessant“, die wir als „interessant“ definieren würden, erfüllt sie als „interessant“, erfüllt sie als „interessant“, erfüllt dies als „interessant“, und erfüllte sie als „interessant“, erfüllt dies als „interessant“.

Recently joining the watchTowr Labs team, I wanted to maintain the trail of destruction left by the team and so had to get my teeth into things quickly. Two primary goals were clear:

Vor kurzem, der sich dem WatchTowr Labs -Team angeschlossen hatte, wollte ich die vom Team hinterlassene Zerstörung aufrechterhalten und musste mich daher schnell in die Dinge in die Dinge bringen. Zwei Hauptziele waren klar:

* Continue the legacy of high-quality research into interesting and impactful vulnerabilities.

* Setzen Sie das Erbe der qualitativ hochwertigen Forschung zu interessanten und wirkungsvollen Schwachstellen fort.

* Contribute to the broader security community with our findings.

* Tragen Sie mit unseren Ergebnissen zur breiteren Sicherheitsgemeinschaft bei.

Kentico’s Xperience CMS stood out as promising, fulfilling several key criteria:

Kenticos Xperience CMS fiel als vielversprechend und erfüllte mehrere wichtige Kriterien:

* It’s a widely used solution, powering a large portion of the web.

* Es ist eine weit verbreitete Lösung, die einen großen Teil des Netzes betreibt.

* The Kentico security team has always been responsive and engaged in disclosing vulnerabilities.

* Das Kentico -Sicherheitsteam war immer reaktionsschnell und hat Schwachstellen offengelegt.

* It presented several interesting technical challenges that we enjoyed exploring.

* Es war einige interessante technische Herausforderungen, die wir gerne erkundeten.

This meets the criteria of something we’d define as “interesting,” so we began. A few hours later, (sigh), we stumbled into our first Authentication Bypass vulnerability. Throughout this research, we identified the following vulnerabilities:

Dies erfüllt die Kriterien von etwas, das wir als „interessant“ definieren würden, also begannen wir. Ein paar Stunden später (Seufzer) stolperten wir in unsere erste Anfälligkeit der Authentifizierung. Während dieser Forschung haben wir die folgenden Schwachstellen identifiziert:

* WT-2025-0006: Authentication Bypass in Kentico Xperience CMS Staging API

* WT-2025-0006: Authentifizierungsbypass in Kentico Xperience CMS Staging API

* WT-2025-0007: Post-Auth Remote Code Execution in Kentico Xperience CMS Staging API

* WT-2025-0007: Ausführung von Post-Auth-Remote-Code in Kentico Xperience CMS Staging API

* WT-2025-0011: Another Authentication Bypass in Kentico Xperience CMS Staging API

* WT-2025-0011: Eine weitere Authentifizierungsbypass in Kentico Xperience CMS Staging API

As we walk through this analysis, we’ll take you on our journey that allowed us to build exploit chains to achieve Remote Code Execution against (at the time) fully patched Kentico Xperience CMS deployments.

Während wir diese Analyse durchlaufen, nehmen wir Sie auf unsere Reise, die es uns ermöglicht, Exploit -Ketten zu erstellen, um die Ausführung von Remote -Code zu erreichen (zu diesem Zeitpunkt) vollständig gepatmt von Kentico Xperience CMS -Bereitstellungen.

Time to dive in… (and until next time..)

Zeit zum Tauchen in… (und bis zum nächsten Mal ..)

Vulnerable Configuration

Anfällige Konfiguration

Anfällige Konfiguration

Before we even start deep diving into the vulnerabilities, we want to be clear that the vulnerabilities highlighted in this blogpost do not affect every Kentico CMS installation (but do appear to affect common configurations).

Bevor wir uns sogar tief in die Schwachstellen eintauchen, möchten wir klarstellen, dass die in diesem Blogpost hervorgehobenen Schwachstellen nicht jede Kentico -CMS -Installation beeinflussen (aber scheinen gemeinsame Konfigurationen zu beeinflussen).

For the vulnerabilities we’re about to discuss, two requirements need to be fulfilled:

Für die Schwachstellen, die wir besprechen, müssen zwei Anforderungen erfüllt werden:

* The Staging Service must be enabled.

* Der Staging -Dienst muss aktiviert sein.

* The authentication type must be set to User name and password.

* Der Authentifizierungsart muss auf den Benutzernamen und das Kennwort gesetzt werden.

However, based on our dataset and exposure across the watchTowr client base, we can confidently say that the above requirements appear to be a common configuration - please do not write these weaknesses off as requiring edge cases. Reassuringly, this seriousness and severity was reflected in the vendors response - the Kentico security team treated all vulnerabilities seriously, and we’ll discuss this further later.

Basierend auf unserem Datensatz und unserer Exposition über den WatchTowR -Client -Stamm können wir jedoch sicher sagen, dass die oben genannten Anforderungen eine häufige Konfiguration zu sein scheinen. Bitte schreiben Sie diese Schwächen nicht als erforderliche Randfälle ab. Beruhigenderweise spiegelte sich diese Ernsthaftigkeit und Schwere in der Reaktion der Anbieter wider - das Sicherheitsteam von Kentico hat alle Schwachstellen ernsthaft behandelt, und wir werden dies später weiter diskutieren.

Our research, initially, was performed our initial research on Kentico Xperience 13.0.172. We also found a second Authentication Bypass, while reviewing Kentico Xperience 13.0.173. Although we never reviewed version 12 of Kentico Xperience (or below), we have high-confidence data that version 12 is also vulnerable to both WT-2025-0006 Authentication Bypass and WT-2025-0011 Authentication Bypass.

Unsere Forschung wurde zunächst unsere ersten Forschung zu Kentico Xperience 13.0.172 durchgeführt. Wir fanden auch einen zweiten Authentifizierungsbypass, während wir Kentico Xperience 13.0.173 überprüfte. Obwohl wir die Version 12 von Kentico Xperience (oder unten) nie überprüft haben, haben wir hochverträgliche Daten, dass Version 12 auch für WT-2025-0006 Authentifizierungsbypass und WT-2025-0011 Authentication Bypass anfällig ist.

To get your system into a vulnerable position while you follow this post along at home, a Kentico administrative user can enable the Staging Service within the CMS settings functionality, while selecting the User name and password authentication type, as presented in the next screenshot:

Um Ihr System in eine gefährdete Position zu bringen, während Sie diesen Beitrag zu Hause befolgen, kann ein Verwaltungsbenutzer von Kentico den Staging -Dienst innerhalb der CMS -Einstellungsfunktionen aktivieren und gleichzeitig den Benutzernamen und den Authentifizierungstyp der Kennwort ausgewählt, wie im nächsten ScreenShot angezeigt:

With this configuration complete, the next step is to investigate how this authentication is being performed. Let's dive into the technical details!

Nach Abschluss dieser Konfiguration besteht der nächste Schritt darin, zu untersuchen, wie diese Authentifizierung durchgeführt wird. Lassen Sie uns auf die technischen Details eintauchen!

WT-2025-0006: Authentication Bypass

WT-2025-0006: Authentifizierungsbypass

WT-2025-0006: Authentifizierungsbypass

When we review new solutions, as we’ve described before a basic aim is to understand the exposed attack surface of the solution and quickly get a feel for how it has been architected. In case of web applications, you may want to look for some REST- or SOAP-based APIs. Interestingly, Kentico’s Experience CMS does not expose a significant number of webservices and endpoints, presenting a relatively small attack surface.

Wenn wir neue Lösungen überprüfen, wie wir vor einem grundlegenden Ziel beschrieben haben, ist es, die exponierte Angriffsfläche der Lösung zu verstehen und schnell ein Gefühl dafür zu bekommen, wie sie architektiert wurde. Bei Webanwendungen möchten Sie möglicherweise nach REST- oder SOAP-basierten APIs suchen. Interessanterweise enthüllt die Erfahrung von Kentico CMS keine erhebliche Anzahl von Webservices und Endpunkten, was eine relativ kleine Angriffsfläche darstellt.

However, a service called CMS.Synchronization.WSE3.SyncServer immediately caught our attention. It exposes a single endpoint, and was interesting for two reasons:

Ein Dienst namens CMS.Synchronization. Es enthüllt einen einzelnen Endpunkt und war aus zwei Gründen interessant:

* It’s used for synchronization tasks between several Kentico instances.

* Es wird für Synchronisationsaufgaben zwischen mehreren Kentico -Instanzen verwendet.

* It’s part of the internal Kentico API, not something that is designed to be used by third-party services or applications.

* Es ist Teil der internen Kentico-API, die nicht von Diensten oder Anwendungen von Drittanbietern verwendet werden soll.

Sounds like fun! Let's try to send a simple HTTP request targeting this web method and just see what happens through the power of FAFO:

Klingt nach Spaß! Versuchen wir, eine einfache HTTP -Anforderung zu senden, die auf diese Webmethode abzielt, und sehen Sie einfach, was durch die Kraft von FAFO passiert:

We’re presented with the following error message:

Wir werden mit der folgenden Fehlermeldung präsentiert:

In the screenshot above presenting the definition of WebService, you may have noticed a mysterious Policy attribute. Its full class name is Microsoft.Web.Services3.PolicyAttribute, and it's implemented in Microsoft.Web.Services3.dll. We've never heard of this DLL before, and so found ourselves scratching our heads a little here.

In dem obigen Screenshot oben, in dem die Definition von WebService präsentiert wird, haben Sie möglicherweise ein mysteriöses Richtlinienattribut festgestellt. Der vollständige Klassenname ist Microsoft.Web.Services3.PolicyAttribute und ist in Microsoft.Web.Services3.Dll implementiert. Wir haben noch nie zuvor von dieser DLL gehört und haben uns hier ein wenig an den Köpfen gekratzt.

A quick Google search revealed that this is part of obsolete (probably since 2012) Web Services Enhancement 3.0 for Microsoft .NET. This is likely superseded by .NET WCF, but it'

Eine schnelle Google -Suche ergab, dass dies Teil der veralteten (wahrscheinlich seit 2012) Web Services Enhancement 3.0 für Microsoft .NET ist. Dies wird wahrscheinlich von .NET WCF ersetzt, aber es '