في ظل التوسع الكبير في استخدام أنظمة إدارة المحتوى (CMS)، تبرز باستمرار ثغرات أمنية قد تعرض بيانات المستخدمين وسمعة الشركات للخطر. مؤخرًا، كشف الباحثون في مجال الأمن السيبراني عن سلسلة من الثغرات الحرجة في نظام Kentico Xperience CMS، أحد الحلول الشائعة لإدارة المحتوى الرقمي، والتي تتراوح بين هجمات حقن نصوص عبر المواقع (XSS) وإمكانية تنفيذ أكواد خبيثة عن بُعد (RCE).
ما يثير القلق هو أن بعض هذه الثغرات، مثل CVE-2025-2748، تسمح لمهاجمين غير مصرح لهم بتحميل ملفات ضارة وتنفيذ سكربتات خبيثة دون الحاجة إلى مصادقة مسبقة، مما يجعلها بوابة سهلة لاختراق المواقع التي تعتمد على هذا النظام. والأخطر من ذلك، أن بعض الثغرات الأخرى، مثل WT-2025-0007، تمكن المهاجمين من تنفيذ أوامر على الخادم حتى إذا كان النظام محدثًا بالكامل.
وقد كشف الباحثون الأمنيون عن أربع ثغرات حرجة في نظام إدارة المحتوى Kentico Xperience:
-
CVE-2025-2748 (درجة خطورة 6.5/10):
-
ثغرة XSS مخزنة (Stored Cross-Site Scripting)
-
سببها عدم التحقق الكافي من الملفات المرفوعة عبر خاصية رفع الملفات المتعددة
-
تسمح للمهاجمين بنشر حمولات خبيثة دون الحاجة لمصادقة
-
-
WT-2025-0006 وWT-2025-0011:
-
ثغرات تجاوز المصادقة (Authentication Bypass)
-
تمكن المهاجم من تجاوز أنظمة الحماية
-
-
WT-2025-0007 (الأخطر):
-
تسمح بتنفيذ أكواد عن بُعد بعد المصادقة (Post-auth RCE)
-
تؤثر حتى على الأنظمة المحدثة بالكامل
-
نطاق التأثير:
-
الإصابات المتأثرة: حتى الإصدار 13.0.178
-
طبيعة الخطر: تنفيذ أكواد خبيثة عن بُعد
-
طريقة الاستغلال: عن طريق تحميل ملفات معدلة
خلفية تقنية:
نظام Kentico Xperience هو من أنظمة إدارة المحتوى (CMS) الشهيرة المستخدمة في:
-
مواقع الشركات الكبرى
-
المنصات التعليمية
-
بوابات الخدمات الإلكترونية
إجراءات الحماية الموصى بها:
✔️ التحديث الفوري لأحدث إصدار من النظام
✔️ تعطيل خاصية رفع الملفات المتعددة إذا لم تكن ضرورية
✔️ مراجعة كافة الملفات المرفوعة مسبقاً
✔️ تطبيق مبدأ أقل صلاحية لجميع المستخدمين
✔️ مراقبة نشاط المستخدمين المشبوهين
