Из-за ошибки в Microsoft.Web.Services3библиотека, для специально созданного запроса на промежуточную службу можно было обойти первоначальную аутентификацию и перейти к десериализации контролируемого пользователем ввода.Десериализация ввода, управляемого пользователем, привела к удаленному выполнению кода на сервере, где размещался экземпляр Kentico.
Обходной путь для всех версий Kentico Обходной путь для этой проблемы одинаков для всех проектов, независимо от стадии подготовкииспользование - установите для параметра
«Проверка подлинности промежуточной службы» значение «X.509»:
1. Перейдите в «Настройки» -> «Управление версиями и синхронизация» -> «Подготовка» * 1013.*
2. В разделе «Staging service» установите для «Staging service authentication» значение «X.509»
3. «Сохранить» изменения
Подробно
Тип проблемы: Удаленное выполнение кода. Риск безопасности:
Критическое Найдено в версии:
12.0.14 и ниже Исправлено в версии:
12.0.15 Дата исправления: 3 /22/2019 Сообщено: Рекомендация Aon Cyber Solutions
Установите последнее исправление.Вы можете загрузить последнее исправление
из раздела Скачать на портале DevNet.Если вы используете более старую версию
Kentico, настоятельно рекомендуется обновить ее до последней