[TLP:CLEAR] XWiki opravuje 9 zranitelností
XWiki verzemi 16.4.7, 16.10.3 a 17.0.0 opravuje 9 zranitelností. Nejzávažnější z nich jsou popsány níže, zbývající naleznete na [1][2][3].
Neautentizovanému vzdálenému útočníkovi je prostřednictvím REST API umožněno vykonat útok SQL injection nad Oracle databází s využitím funkcí jako DBMS_XMLGEN nebo DBMS_XMLQUERY [4].
Zranitelnost se nachází v produktu XWiki ve verzích (>=1.0 AND <15.10.16) OR (>=16.4 AND <16.4.7) OR (>=16.10 AND <16.10.2).
CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Více informací:
- CVE-2024-56158 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 12. 6. 2025.
Autentizovanému vzdálenému útočníkovi s oprávněním upravovat stránku je kvůli nesprávnému vyhodnocování výchozích hodnot parametrů v uživatelsky definovaných wiki makrech umožněno spustit libovolný kód (Groovy, Python, Velocity) s právy programátora, což může vést k úplné kompromitaci XWiki instalace [5]. Více informací a PoC ke zranitelnosti naleznete na [5][6].
Zranitelnost se nachází v produktu XWiki ve verzích (>=11.10.11 AND <12.0) OR (>=12.6.3 AND <12.7) OR (>=12.8-rc-1 AND <16.4.7) OR (>=16.5.0-rc-1 AND <16.10.3) OR (>=17.0.0-rc-1 AND <17.0.0).
CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Více informací:
- CVE-2025-49581 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-94: Improper Control of Generation of Code ('Code Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 13. 6. 2025.
Neautentizovanému vzdálenému útočníkovi je skrze REST API umožněno číst titulky stránek, ke kterým nemá oprávnění přístupu, pokud zná jejich přesnou referenci a má přístup k XClass obsahující vlastnost typu 'page', což může vést k úniku citlivých informací o obsahu a struktuře wiki [7]. Plně soukromé wiki [8] touto zranitelností postiženy nejsou.
Zranitelnost se nachází v produktu XWiki ve verzích (>=10.9 AND <16.4.7) OR (>=16.5.0-rc-1 AND <16.10.3) OR (>=17.0.0-rc-1 AND <17.0.0).
CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N
Více informací:
- CVE-2025-49584 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-201: Insertion of Sensitive Information Into Sent Data at cwe.mitre.org
Zranitelnost byla veřejně oznámena 13. 6. 2025.
Autentizovanému vzdálenému útočníkovi s oprávněním upravovat alespoň jednu aplikaci vytvořenou pomocí App Within Minutes (AWM) je její úpravou umožněno spustit libovolný kód s právy programátora [9]. Není-li možná okamžitá aktualizace na opravenou verzi, lze riziko dočasně mitigovat omezením práva upravovat všechny existující aplikace vytvořené pomocí AWM pouze na důvěryhodné uživatele. Toto opatření však mitiguje pouze známý způsob zneužití (PoC) a nelze vyloučit existenci jiných. Více informací a PoC ke zranitelnosti naleznete na [9][10].
Zranitelnost se nachází v produktu XWiki ve verzích (>=7.2-milestone-2 AND <16.4.7) OR (>=16.5.0-rc-1 AND <16.10.3) OR (>=17.0.0-rc-1 AND <17.0.0).
CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Více informací:
- CVE-2025-49586 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-863: Incorrect Authorization at cwe.mitre.org
Zranitelnost byla veřejně oznámena 13. 6. 2025.
Autentizovanému vzdálenému útočníkovi s oprávněním upravovat stránku je kvůli neúplné implementaci varování před nebezpečnými makry umožněno skrýt škodlivý skript (včetně Groovy nebo Python) v parametrech maker, který se následně vykoná s právy programátora, pokud jiný uživatel stránku edituje. Více informací ke zranitelnosti naleznete na [11].
Zranitelnost se nachází v produktu XWiki ve verzích (>=15.9-rc-1 AND <16.4.7) OR (>=16.5.0-rc-1 AND <16.10.3) OR (>=17.0.0-rc-1 AND <17.0.0).
CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Více informací:
- CVE-2025-49582 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-357: Insufficient UI Warning of Dangerous Operations at cwe.mitre.org
Zranitelnost byla veřejně oznámena 13. 6. 2025.
Autentizovanému vzdálenému útočníkovi s oprávněním upravovat stránku je kvůli absenci varování při úpravách dokumentů s nebezpečnými vlastnostmi umožněno vložit škodlivý kód, který je poté vykonán s právy uživatele s vyšším oprávněním (např. programátora) [12].
Zranitelnost se nachází v produktu XWiki ve verzích (<15.10.16) OR (>=16.0.0-rc-1 AND <16.4.7) OR (>=16.5.0-rc-1 AND <16.10.2).
CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:H/VI:H/VA:H/SC:L/SI:L/SA:N
Více informací:
- CVE-2025-49585 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-357: Insufficient UI Warning of Dangerous Operations at cwe.mitre.org
Zranitelnost byla veřejně oznámena 13. 6. 2025.
Odkazy
- [1] https://nvd.nist.gov/vuln/detail/CVE-2025-49580
- [2] https://nvd.nist.gov/vuln/detail/CVE-2025-49587
- [3] https://nvd.nist.gov/vuln/detail/CVE-2025-49583
- [4] https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-prwh-7838-xf82
- [5] https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-9875-cw22-f7cx
- [6] https://jira.xwiki.org/browse/XWIKI-22760
- [7] https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-mvp5-qx9c-c3fv
- [8] https://www.xwiki.org/xwiki/bin/view/Documentation/AdminGuide/Access%20Rights/#HPrivateWiki
- [9] https://github.com/advisories/GHSA-jp4x-w9cj-97q7
- [10] https://jira.xwiki.org/browse/XWIKI-22719
- [11] https://github.com/advisories/GHSA-c32m-27pj-4xcj
- [12] https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-59w6-r9hm-439h
Za CESNET-CERTS Michaela Ručková dne 17. 6. 2025.