CVE-2025-2748

Nome do Software Vulnerável e Versões Afetadas Versões do Kentico Xperience anteriores à 13.0.178

Descrição A aplicação Kentico Xperience não valida ou filtra completamente os arquivos enviados por meio da funcionalidade de upload de múltiplos arquivos. Esta validação insuficiente permite a ocorrência de Cross-Site Scripting (XSS) armazenado. A exploração desta vulnerabilidade pode potencialmente levar à Execução Remota de Código (RCE) através do abuso de manipuladores de arquivos personalizados. A vulnerabilidade é acionada pelo envio de arquivos especialmente construídos, como arquivos ZIP contendo arquivos SVG maliciosos, que podem então ser usados para executar código JavaScript arbitrário.

Recomendações Versões anteriores à 13.0.178 devem ser atualizadas para a versão 13.0.178 ou superior.