CVE-2025-2749 : RCE Kentico Xperience inscrite au KEV CISA

CVE-2025-2749 désigne une vulnérabilité critique d'exécution de code à distance dans Kentico Xperience, le CMS .NET utilisé par de nombreuses entreprises pour leurs portails clients et leurs sites institutionnels. Notée CVSS 7.2 et classée comme path traversal vers téléversement de fichiers arbitraires, elle permet à un attaquant authentifié sur le serveur de synchronisation Staging Sync de téléverser des fichiers à des emplacements relatifs au chemin attendu, en s'échappant du dossier d'upload légitime pour déposer du code exécutable côté serveur. Le résultat est une exécution de code à distance complète dans le contexte du processus IIS hébergeant l'application. Le CISA a inscrit la vulnérabilité au catalogue Known Exploited Vulnerabilities le 20 avril 2026 sur la base de preuves d'exploitation active, fixant l'échéance de patch pour les agences fédérales américaines au 4 mai 2026. SecurityWeek confirme l'abus en environnement réel et place CVE-2025-2749 aux côtés de failles Cisco Catalyst SD-WAN Manager et Synacor Zimbra dans le même paquet d'alertes. Toutes les versions Kentico Xperience jusqu'à 13.0.178 incluse sont vulnérables, et le correctif officiel n'est disponible qu'à partir de la version 13.0.178 publiée par Kentico avec la mention explicite de cette CVE.

Les faits

Selon l'avis Kentico et l'analyse CVE Details, la vulnérabilité réside dans le module Staging Sync Server, composant chargé de synchroniser le contenu entre instances Kentico Xperience (par exemple entre un environnement de pré-production et la production). L'API d'upload de ce module accepte un paramètre de chemin relatif sans normalisation suffisante. Un attaquant authentifié — typiquement un compte éditeur ou un compte de service compromis — peut donc soumettre un nom de fichier contenant des séquences de remontée d'arborescence du type ../../ et obtenir l'écriture du fichier hors du répertoire d'upload prévu, jusque dans des emplacements interprétés par IIS comme du code exécutable (.aspx, .ashx). À l'ouverture suivante de cette URL, le serveur compile et exécute le code, conférant à l'attaquant une exécution de code arbitraire sous l'identité de l'application web.

L'ajout au KEV CISA le 20 avril 2026 confirme que la chaîne est exploitée au-delà des laboratoires de recherche. La même fenêtre KEV inclut sept autres vulnérabilités, dont la faille PaperCut NG bypass auth CVE-2023-27351 et plusieurs failles Cisco Catalyst SD-WAN Manager, ce qui dessine un climat d'exploitation opportuniste accélérée par les acteurs étatiques et les courtiers d'accès initiaux. Kentico recommande explicitement la mise à jour vers Xperience 13.0.178 ou ultérieure, qui corrige le défaut de validation du chemin.

Impact et exposition

Kentico Xperience équipe principalement des sites institutionnels, e-commerce et portails métiers de taille moyenne à grande, souvent intégrés à des systèmes back-office ERP ou CRM. Une compromission du serveur web Kentico via CVE-2025-2749 expose donc non seulement les données publiées, mais également les bases de données métier connectées et les jetons d'accès aux services en aval. Le pré-requis d'authentification limite la surface aux attaquants déjà détenteurs d'un compte valide, mais ce critère est régulièrement satisfait dans la pratique : credential stuffing depuis des fuites antérieures, comptes éditeurs faiblement protégés, comptes de service partagés entre environnements. Le mécanisme Staging Sync est par ailleurs souvent exposé entre environnements via des ouvertures réseau spécifiques, ce qui crée des chemins d'attaque internes même lorsque l'interface d'administration est filtrée. Pour les organismes soumis à RGPD ou à des obligations sectorielles (santé, finance), le risque d'exfiltration de données impose un traitement immédiat.

Recommandations immédiates

• Mettre à jour Kentico Xperience vers la version 13.0.178 ou supérieure, conformément au bulletin éditeur Kentico référençant CVE-2025-2749.
• Si la mise à jour ne peut être appliquée immédiatement : désactiver le module Staging Sync Server ou restreindre son accès aux seules adresses IP des serveurs source/cible légitimes.
• Auditer les comptes utilisateurs Kentico, révoquer les comptes inactifs et imposer une rotation des mots de passe pour les comptes éditeurs et de service.
• Rechercher dans les répertoires CMSPages, App_Code et la racine web la présence de fichiers .aspx ou .ashx récents non référencés dans le contrôle de version — indicateur de compromission probable.
• Activer la journalisation détaillée IIS et corréler les uploads Staging Sync avec les compilations ASP.NET inattendues sur les sept derniers jours.

Cette inscription au KEV s'inscrit dans la campagne d'ajouts massifs du printemps 2026, déjà documentée par notre veille avec le dossier Cisco SD-WAN Manager 3 failles KEV avril 2026. Le pattern « path traversal authentifié vers RCE » est analogue à celui exploité dans la RCE critique Kali Forms WordPress CVE-2026-3584. Pour comprendre comment un compte éditeur compromis devient vecteur d'attaque, voir l'injection de commande Atlassian Bamboo CVE-2026-21571. Enfin, sur le contournement d'authentification dans des CMS et systèmes administratifs, consulter le bypass auth Quest KACE SMA CVSS 10.

À propos de l'auteur

AN

Ayi NEDJIMI

Auditeur Senior Cybersécurité & Consultant IA

Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense

ayi@ayinedjimi-consultants.fr

25+

ans d'expérience

700+

articles publiés

100+

missions réalisées

Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.

À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.

Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.

Domaines d'expertise

ISO 42001 Lead Auditor ISO 27001 · NIS2 Pentest & Forensics IA / LLM / RAG Cloud & Active Directory

Voir le profil complet Demander un devis