[TLP:CLEAR] XWiki Confluence Migrator Pro opravuje 2 zranitelnosti
XWiki verzemi 1.2 a 1.11.7 opravuje 2 zranitelnosti v produktu Confluence Migrator Pro [1][2].
Autentizovanému vzdálenému útočníkovi bez programátorských oprávnění je při vytváření stránky pomocí šablony Migration Page umožněno vykonat vzdálené spuštění kódu [1].
Zranitelnost se nachází v produktu XWiki Confluence Migrator Pro ve verzích >=1.0 AND <1.2.
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
Více informací:
- CVE-2025-27603 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-95: Improper Neutralization of Directives in Dynamically Evaluated Code ('Eval Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 7. 3. 2025.
Neautentizovanému vzdálenému útočníkovi je umožněno stáhnout z domovské stránky balíček obsahující citlivé informace [2].
Zranitelnost se nachází v produktu XWiki Confluence Migrator Pro ve verzích <=1.11.6.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Více informací:
- CVE-2025-27604 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-200: Exposure of Sensitive Information to an Unauthorized Actor at cwe.mitre.org
Zranitelnost byla veřejně oznámena 7. 3. 2025.
Odkazy
Za CESNET-CERTS Michaela Jarošová dne 10. 3. 2025.
