CVE-2022-50686 CVSS 7.5 高危

CVE-2022-50686 | Kentico Xperience Portal Engine信息泄露漏洞

披露日期: 2025-12-18

来源: [email protected]

漏洞信息

漏洞编号

CVE-2022-50686

漏洞类型

信息泄露

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Kentico Xperience

漏洞概述

CVE-2022-50686是Kentico Xperience中的一个高危信息泄露漏洞，CVSS评分7.5。该漏洞存在于Portal Engine的表单控件错误处理机制中，攻击者可通过触发错误消息来获取敏感的堆栈跟踪信息，从而了解系统的内部结构和实现细节。

技术细节

攻击者通过向Kentico Xperience的Portal Engine表单控件发送特定请求，触发错误条件。系统返回的错误消息中包含详细的堆栈跟踪信息，暴露了应用程序的内部路径、类名、方法名等敏感信息。

攻击链分析

STEP 1

侦察

识别运行Kentico Xperience的Web服务器

STEP 2

探测

发现Portal Engine表单控件端点

STEP 3

触发

发送畸形请求触发错误条件

STEP 4

提取

从错误响应中收集堆栈跟踪信息

STEP 5

利用

利用泄露信息进行进一步攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

target = 'http://target-site.com'
payload = {'control': 'Portal_Engine_Form', 'action': 'trigger_error'}
response = requests.post(target, json=payload)
print(response.text)

影响范围

Kentico Xperience < 13.0.200

Kentico Xperience < 12.0.150

防御指南

临时缓解措施

临时禁用Portal Engine表单控件的错误详情显示，配置通用的错误处理页面。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表