Trusted Design

CVE-2025-2747 の詳細

CVEの情報

説明:
An authentication bypass vulnerability in Kentico Xperience allows authentication bypass via the Staging Sync Server component password handling for the server defined None type. Authentication bypass allows an attacker to control administrative objects.This issue affects Xperience through 13.0.178.

CVE更新日: 2025-03-24 19:15:51.967000

CVSSバージョン: 3.1

CVSSスコア: 9.8

KEVの情報

KEV更新日: 2025-10-20

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.921610000

EPSS更新日: 2026-07-17 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: high

Automatable: True

AIを使った解説

解説:

CVE-2025-2747は、Kentico Xperienceにおける認証バイパスの脆弱性です。

1. 脆弱性の概要

1.1 影響

本脆弱性が悪用されると、攻撃者は認証を迂回し、管理オブジェクトを制御できるようになります。これにより、機密性の高い管理機能への不正アクセス、アプリケーション内のデータや設定の操作、データ侵害、およびシステムの中断を引き起こす可能性があります。他の脆弱性と組み合わせることで、リモートコード実行につながる可能性もあります。

1.2 深刻度

この脆弱性の深刻度は「Critical(緊急)」と評価されており、共通脆弱性評価システム(CVSSv3.1)のベーススコアは9.8です。 米国サイバーセキュリティ・社会基盤安全保障庁(CISA)の既知の悪用された脆弱性(KEV)カタログにも含まれており、積極的に悪用されていることが示されています。

2. 対象となる環境

2.1 影響を受けるOSバージョン

Kentico Xperienceのバージョン13.0.178以前が影響を受けます。

2.2 影響を受ける設定

Kentico XperienceのStagingサービスが有効になっており、かつ、攻撃者からアクセス可能であること、およびユーザー名/パスワード認証を使用するように設定されていることが悪用の条件となります。特に、Staging Sync Serverコンポーネントが「None」タイプのサーバー定義でパスワード処理を行う際に脆弱性が存在します。

3. 影響を受けた時の兆候

明確な兆候は特定されていませんが、一般的に以下のような状況が考えられます。 * 管理機能への不正なアクセスや操作のログ。 * データや設定の意図しない変更。 * Staging Sync Serverコンポーネントに関連する異常なネットワークトラフィックやシステム動作。 * システムログにおける予期せぬ認証成功やアクセス試行。

4. 推奨対策

4.1 本対策

直ちにパッチを適用し、Kentico Xperienceをバージョン13.0.179以降にアップグレードしてください。本脆弱性は、Hotfix 13.0.178で修正されています(2025年3月6日公開)。

4.2 暫定回避策(緩和策)

  • Stagingサービスを無効化するか、アクセスを制限してください。
  • ビジネス上必須でない限り、WAFまたはファイアウォールで/CMSPages/Staging/SyncServer.asmxへの外部アクセスをブロックしてください。
  • 可能であれば、証明書ベースの認証の使用を検討し、監視体制の強化とシステム全体のセキュリティ強化策を講じてください。

参照サイト

NVDサイト

NVDでCVEの詳細を見る

戻る