CVE-2023-53737: Kentico Xperience 中网页生成期间输入过滤不当导致的跨站脚本漏洞

严重性：中等 类型：漏洞 CVE编号：CVE-2023-53737

Kentico Xperience 中存在一个存储型跨站脚本漏洞，允许全局管理员通过本地化应用程序注入恶意负载。攻击者可以执行可能影响管理界面多个部分的脚本。

技术摘要

CVE-2023-53737 是在流行的 Web 内容管理系统 Kentico Xperience 中发现的一个存储型跨站脚本漏洞。该漏洞存在于本地化应用程序模块中，全局管理员可以在该模块注入恶意脚本，这些脚本被存储并在管理界面内后续执行。这种在网页生成期间对输入的过滤不当，使得拥有全局管理员权限的攻击者能够嵌入 JavaScript 负载，并在其他管理员浏览器的上下文中执行，可能导致会话劫持、未授权操作或界面操纵。该漏洞要求攻击者拥有经过身份验证的全局管理员访问权限，并且需要一些用户交互来触发恶意脚本。CVSS 4.0 评分为 2.4 分，反映了较低的攻击向量（本地）、所需的权限较低以及需要用户交互，对机密性、完整性和可用性的影响有限。目前没有公开的利用程序报告，也没有关联的补丁，表明该漏洞是刚披露的或尚未被广泛利用。该漏洞凸显了在 Web 应用程序中，尤其是在控制关键系统功能的管理模块中，进行适当的输入验证和输出编码的重要性。

潜在影响

对于欧洲组织而言，CVE-2023-53737 的主要影响在于 Kentico Xperience 环境中的管理界面可能遭到破坏。成功利用可能允许攻击者以其他管理员身份执行任意脚本，可能导致会话劫持、对网站内容或配置进行未经授权的更改以及破坏管理工作流程。虽然该漏洞不会直接暴露敏感数据或导致全系统中断，但它破坏了管理界面的完整性和可信度。拥有多个全局管理员的组织由于存在横向攻击传播的可能性而面临更高的风险。鉴于 CVSS 评分较低且需要全局管理员权限，威胁仅限于内部人员或已经攻破管理员账户的攻击者。然而，在 Kentico Xperience 用于关键的面向公众的服务或内部门户的部门中，即使是有限的管理界面破坏也可能产生声誉和运营上的后果。

缓解建议

欧洲组织应实施以下具体缓解措施：

1. 将全局管理员权限严格限制在可信人员范围内，并定期审查管理员账户的不必要访问。
2. 监控和审计通过本地化应用程序和其他管理模块所做的所有更改，以检测可疑活动。
3. 在 Kentico Xperience 的自定义或扩展中应用严格的输入验证和输出编码控制，以防止恶意脚本注入。
4. 使用网络分段和访问控制将管理界面与普通用户访问网络隔离，以减少暴露。
5. 为所有全局管理员账户采用多因素身份验证，以降低凭据泄露的风险。
6. 密切关注 Kentico 的官方补丁或更新，并在可用时立即应用。
7. 教育管理员了解在管理界面内执行不受信任脚本或与可疑内容交互的风险。这些措施超越了通用建议，重点关注针对此漏洞性质定制的权限管理、监控和网络控制。

受影响国家

德国、英国、荷兰、法国、瑞典

来源： CVE 数据库 V5 发布时间： 2025年12月18日，星期四

技术详情

• 数据版本： 5.2
• 分配者简称： VulnCheck
• 预留日期： 2025-12-06T22:47:18.247Z
• Cvss 版本： 4.0
• 状态： 已发布
• 威胁 ID： 69445ff04eb3efac36a5116c
• 添加到数据库： 2025年12月18日，晚上8:11:28
• 最后丰富： 2025年12月18日，晚上8:29:59
• 最后更新： 2025年12月19日，凌晨4:39:36
• 查看次数： 5