Sicherheitsupdate: Kritische Lücke im CMS Kentico

Angreifer könnten eine Authentifizierung umgehen und Schadcode auf einem Server mit Kentico ausführen.

In Pocket speichern vorlesen Druckansicht
Sicherheitsupdate: Kritische Lücke im CMS Kentico

(Bild: geralt)

Lesezeit: 1 Min.

Die Entwickler des Content Management Systems (CMS) Kentico haben eine als "kritisch" eingestufte Sicherheitslücke geschlossen. Sie haben den Fehler in der Version 12.0.15 gefixt. Alle vorigen Ausgaben sollen angreifbar sein, warnen die Entwickler in einem Beitrag.

Der Fehler steckte in der Bibliothek Microsoft.Web.Services 3. Mit einer präparierten Anfrage hätte ein Angreifer aus der Ferne die Authentifizierung umgehen können und so Schadcode auf einem Server mit dem CMS ausführen können.

Wer die abgesicherte Version nicht installieren kann, kann das CMS über einen Workaround absichern. Dafür müssen Admins in den Einstellungen unter "Versioning & Synchronization/Staging" unter "Staging Server" "Staging service authentication" auf "X.509" stellen. (des)