J'ai récemment rejoint Watchtowr, et c'est donc le temps - le temps pour mon premier blog Watchtowr Labs

Le CMS de Xperience de Kentico s'est démarqué comme prometteur, remplissant plusieurs critères clés: cela répond aux critères de quelque chose que nous définissons comme «intéressant»,

Recently joining the watchTowr Labs team, I wanted to maintain the trail of destruction left by the team and so had to get my teeth into things quickly. Two primary goals were clear:

Récemment, rejoignant l'équipe de Watchtowr Labs, je voulais maintenir la piste de destruction laissée par l'équipe et j'ai donc dû me mettre les dents dans les choses rapidement. Deux objectifs principaux étaient clairs:

* Continue the legacy of high-quality research into interesting and impactful vulnerabilities.

* Continuez l'héritage des recherches de haute qualité sur des vulnérabilités intéressantes et percutantes.

* Contribute to the broader security community with our findings.

* Contribuer à la communauté de sécurité plus large avec nos résultats.

Kentico’s Xperience CMS stood out as promising, fulfilling several key criteria:

Le CMS de Xperience de Kentico s'est démarqué comme prometteur, remplissant plusieurs critères clés:

* It’s a widely used solution, powering a large portion of the web.

* Il s'agit d'une solution largement utilisée, alimentant une grande partie du Web.

* The Kentico security team has always been responsive and engaged in disclosing vulnerabilities.

* L'équipe de sécurité de Kentico a toujours été réactive et engagée dans la divulgation de vulnérabilités.

* It presented several interesting technical challenges that we enjoyed exploring.

* Il a présenté plusieurs défis techniques intéressants que nous aimions explorer.

This meets the criteria of something we’d define as “interesting,” so we began. A few hours later, (sigh), we stumbled into our first Authentication Bypass vulnerability. Throughout this research, we identified the following vulnerabilities:

Cela répond aux critères de quelque chose que nous définissons comme «intéressant», alors nous avons commencé. Quelques heures plus tard, (soupir), nous sommes tombés sur notre première vulnérabilité de contournement d'authentification. Tout au long de cette recherche, nous avons identifié les vulnérabilités suivantes:

* WT-2025-0006: Authentication Bypass in Kentico Xperience CMS Staging API

* WT-2025-0006: contournement de l'authentification dans Kentico Xperience CMS Staging API

* WT-2025-0007: Post-Auth Remote Code Execution in Kentico Xperience CMS Staging API

* WT-2025-0007: Exécution du code distant post-UTH dans l'API de mise en scène CMS Kentico Xperience CMS

* WT-2025-0011: Another Authentication Bypass in Kentico Xperience CMS Staging API

* WT-2025-0011: une autre contournement d'authentification dans Kentico Xperience CMS Staging API

As we walk through this analysis, we’ll take you on our journey that allowed us to build exploit chains to achieve Remote Code Execution against (at the time) fully patched Kentico Xperience CMS deployments.

Alors que nous traversons cette analyse, nous vous emmènerons dans notre voyage qui nous a permis de créer des chaînes d'exploitation pour réaliser l'exécution de code distant contre (à l'époque) les déploiements CMS Kentico Xperiences entièrement corrigés.

Time to dive in… (and until next time..)

Il est temps de plonger… (et jusqu'à la prochaine fois ..)

Vulnerable Configuration

Configuration vulnérable

Configuration vulnérable

Before we even start deep diving into the vulnerabilities, we want to be clear that the vulnerabilities highlighted in this blogpost do not affect every Kentico CMS installation (but do appear to affect common configurations).

Avant même de commencer une plongée profonde dans les vulnérabilités, nous voulons être clairs que les vulnérabilités mises en évidence dans ce blog n'affectent pas chaque installation CMS de Kentico (mais semblent affecter les configurations communes).

For the vulnerabilities we’re about to discuss, two requirements need to be fulfilled:

Pour les vulnérabilités dont nous sommes sur le point de discuter, deux exigences doivent être remplies:

* The Staging Service must be enabled.

* Le service de stadification doit être activé.

* The authentication type must be set to User name and password.

* Le type d'authentification doit être défini sur le nom d'utilisateur et le mot de passe.

However, based on our dataset and exposure across the watchTowr client base, we can confidently say that the above requirements appear to be a common configuration - please do not write these weaknesses off as requiring edge cases. Reassuringly, this seriousness and severity was reflected in the vendors response - the Kentico security team treated all vulnerabilities seriously, and we’ll discuss this further later.

Cependant, sur la base de notre ensemble de données et de notre exposition à travers la clientèle de Watchtowr, nous pouvons dire en toute confiance que les exigences ci-dessus semblent être une configuration courante - veuillez ne pas ranger ces faiblesses comme nécessitant des cas de bord. Rassurant, cette gravité et cette gravité se sont reflétées dans la réponse des vendeurs - l'équipe de sécurité de Kentico a sérieusement traité toutes les vulnérabilités, et nous en discuterons plus tard.

Our research, initially, was performed our initial research on Kentico Xperience 13.0.172. We also found a second Authentication Bypass, while reviewing Kentico Xperience 13.0.173. Although we never reviewed version 12 of Kentico Xperience (or below), we have high-confidence data that version 12 is also vulnerable to both WT-2025-0006 Authentication Bypass and WT-2025-0011 Authentication Bypass.

Nos recherches, initialement, ont été réalisées sur nos recherches initiales sur Kentico Xperience 13.0.172. Nous avons également trouvé un deuxième contournement d'authentification, tout en examinant Kentico Xperience 13.0.173. Bien que nous n'ayons jamais examiné la version 12 de Kentico Xperience (ou ci-dessous), nous avons des données de confiance élevées selon lesquelles la version 12 est également vulnérable au pontage d'authentification WT-2025-0006 et au pontage d'authentification WT-2025-0011.

To get your system into a vulnerable position while you follow this post along at home, a Kentico administrative user can enable the Staging Service within the CMS settings functionality, while selecting the User name and password authentication type, as presented in the next screenshot:

Pour mettre votre système dans une position vulnérable pendant que vous suivez ce post à la maison, un utilisateur administratif de Kentico peut activer le service de mise en scène dans la fonctionnalité des paramètres CMS, tout en sélectionnant le type d'authentification du nom d'utilisateur et du mot de passe, comme présenté dans la capture d'écran suivante:

With this configuration complete, the next step is to investigate how this authentication is being performed. Let's dive into the technical details!

Avec cette configuration terminée, l'étape suivante consiste à étudier comment cette authentification est effectuée. Plongeons-nous dans les détails techniques!

WT-2025-0006: Authentication Bypass

WT-2025-0006: contournement d'authentification

WT-2025-0006: contournement d'authentification

When we review new solutions, as we’ve described before a basic aim is to understand the exposed attack surface of the solution and quickly get a feel for how it has been architected. In case of web applications, you may want to look for some REST- or SOAP-based APIs. Interestingly, Kentico’s Experience CMS does not expose a significant number of webservices and endpoints, presenting a relatively small attack surface.

Lorsque nous passons en revue de nouvelles solutions, comme nous l'avons décrit avant un objectif de base, c'est de comprendre la surface d'attaque exposée de la solution et d'avoir rapidement une idée de la façon dont elle a été architeclée. En cas d'applications Web, vous voudrez peut-être rechercher des API basées sur le repos ou le savon. Fait intéressant, l'expérience de Kentico CMS n'expose pas un nombre important de services Web et de points finaux, présentant une surface d'attaque relativement petite.

However, a service called CMS.Synchronization.WSE3.SyncServer immediately caught our attention. It exposes a single endpoint, and was interesting for two reasons:

Cependant, un service appelé CMS.Synchronisation.wse3.Syncserver a immédiatement attiré notre attention. Il expose un seul point final et était intéressant pour deux raisons:

* It’s used for synchronization tasks between several Kentico instances.

* Il est utilisé pour les tâches de synchronisation entre plusieurs instances de Kentico.

* It’s part of the internal Kentico API, not something that is designed to be used by third-party services or applications.

* Il fait partie de l'API Kentico interne, pas quelque chose qui est conçu pour être utilisé par des services ou des applications tiers.

Sounds like fun! Let's try to send a simple HTTP request targeting this web method and just see what happens through the power of FAFO:

Cela semble amusant! Essayons d'envoyer une demande HTTP simple ciblant cette méthode Web et voyons simplement ce qui se passe grâce à la puissance de FAFO:

We’re presented with the following error message:

On nous présente le message d'erreur suivant:

In the screenshot above presenting the definition of WebService, you may have noticed a mysterious Policy attribute. Its full class name is Microsoft.Web.Services3.PolicyAttribute, and it's implemented in Microsoft.Web.Services3.dll. We've never heard of this DLL before, and so found ourselves scratching our heads a little here.

Dans la capture d'écran ci-dessus présentant la définition de WebService, vous avez peut-être remarqué un mystérieux attribut de politique. Son nom de classe complet est Microsoft.Web.Services3.PolicyAttribute, et il est implémenté dans Microsoft.Web.Services3.dll. Nous n'avons jamais entendu parler de cette DLL auparavant, et nous nous sommes donc retrouvés à nous gratter un peu la tête ici.

A quick Google search revealed that this is part of obsolete (probably since 2012) Web Services Enhancement 3.0 for Microsoft .NET. This is likely superseded by .NET WCF, but it'

Une recherche rapide sur Google a révélé que cela faisait partie de l'amélioration des services Web obsolètes (probablement depuis 2012) pour Microsoft .NET. Ceci est probablement remplacé par .NET WCF, mais c'est '