[TLP:CLEAR] XWiki opravuje 9 zranitelností

XWiki verzemi 16.4.7, 16.10.3 a 17.0.0 opravuje 9 zranitelností. Nejzávažnější z nich jsou popsány níže, zbývající naleznete na [1][2][3].

XWiki - SQL injection (CVE-2024-56158) CVSS 9.3 (Critical)

Neautentizovanému vzdálenému útočníkovi je prostřednictvím REST API umožněno vykonat útok SQL injection nad Oracle databází s využitím funkcí jako DBMS_XMLGEN nebo DBMS_XMLQUERY [4].

Zranitelnost se nachází v produktu XWiki ve verzích (>=1.0 AND <15.10.16) OR (>=16.4 AND <16.4.7) OR (>=16.10 AND <16.10.2).

CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Více informací:

Zranitelnost byla veřejně oznámena 12. 6. 2025.

XWiki - RCE (CVE-2025-49581) CVSS 8.7 (High)

Autentizovanému vzdálenému útočníkovi s oprávněním upravovat stránku je kvůli nesprávnému vyhodnocování výchozích hodnot parametrů v uživatelsky definovaných wiki makrech umožněno spustit libovolný kód (Groovy, Python, Velocity) s právy programátora, což může vést k úplné kompromitaci XWiki instalace [5]. Více informací a PoC ke zranitelnosti naleznete na [5][6].

Zranitelnost se nachází v produktu XWiki ve verzích (>=11.10.11 AND <12.0) OR (>=12.6.3 AND <12.7) OR (>=12.8-rc-1 AND <16.4.7) OR (>=16.5.0-rc-1 AND <16.10.3) OR (>=17.0.0-rc-1 AND <17.0.0).

CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Více informací:

Zranitelnost byla veřejně oznámena 13. 6. 2025.

XWiki - sensitive information disclosure (CVE-2025-49584) CVSS 8.7 (High)

Neautentizovanému vzdálenému útočníkovi je skrze REST API umožněno číst titulky stránek, ke kterým nemá oprávnění přístupu, pokud zná jejich přesnou referenci a má přístup k XClass obsahující vlastnost typu 'page', což může vést k úniku citlivých informací o obsahu a struktuře wiki [7]. Plně soukromé wiki [8] touto zranitelností postiženy nejsou.

Zranitelnost se nachází v produktu XWiki ve verzích (>=10.9 AND <16.4.7) OR (>=16.5.0-rc-1 AND <16.10.3) OR (>=17.0.0-rc-1 AND <17.0.0).

CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

Více informací:

Zranitelnost byla veřejně oznámena 13. 6. 2025.

XWiki - RCE (CVE-2025-49586) CVSS 8.7 (High)

Autentizovanému vzdálenému útočníkovi s oprávněním upravovat alespoň jednu aplikaci vytvořenou pomocí App Within Minutes (AWM) je její úpravou umožněno spustit libovolný kód s právy programátora [9]. Není-li možná okamžitá aktualizace na opravenou verzi, lze riziko dočasně mitigovat omezením práva upravovat všechny existující aplikace vytvořené pomocí AWM pouze na důvěryhodné uživatele. Toto opatření však mitiguje pouze známý způsob zneužití (PoC) a nelze vyloučit existenci jiných. Více informací a PoC ke zranitelnosti naleznete na [9][10].

Zranitelnost se nachází v produktu XWiki ve verzích (>=7.2-milestone-2 AND <16.4.7) OR (>=16.5.0-rc-1 AND <16.10.3) OR (>=17.0.0-rc-1 AND <17.0.0).

CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Více informací:

Zranitelnost byla veřejně oznámena 13. 6. 2025.

XWiki - RCE (CVE-2025-49582) CVSS 8.6 (High)

Autentizovanému vzdálenému útočníkovi s oprávněním upravovat stránku je kvůli neúplné implementaci varování před nebezpečnými makry umožněno skrýt škodlivý skript (včetně Groovy nebo Python) v parametrech maker, který se následně vykoná s právy programátora, pokud jiný uživatel stránku edituje. Více informací ke zranitelnosti naleznete na [11].

Zranitelnost se nachází v produktu XWiki ve verzích (>=15.9-rc-1 AND <16.4.7) OR (>=16.5.0-rc-1 AND <16.10.3) OR (>=17.0.0-rc-1 AND <17.0.0).

CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Více informací:

Zranitelnost byla veřejně oznámena 13. 6. 2025.

XWiki - RCE (CVE-2025-49585) CVSS 8.6 (High)

Autentizovanému vzdálenému útočníkovi s oprávněním upravovat stránku je kvůli absenci varování při úpravách dokumentů s nebezpečnými vlastnostmi umožněno vložit škodlivý kód, který je poté vykonán s právy uživatele s vyšším oprávněním (např. programátora) [12].

Zranitelnost se nachází v produktu XWiki ve verzích (<15.10.16) OR (>=16.0.0-rc-1 AND <16.4.7) OR (>=16.5.0-rc-1 AND <16.10.2).

CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:H/VI:H/VA:H/SC:L/SI:L/SA:N

Více informací:

Zranitelnost byla veřejně oznámena 13. 6. 2025.


Za CESNET-CERTS Michaela Ručková dne 17. 6. 2025.

CESNET CERTS Logo