Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-05356

Опубликовано: 28 авг. 2024
Источник: fstec
CVSS3: 9
CVSS2: 9
EPSS Низкий

Описание

Уязвимость компонента org.xwiki.platform:xwiki-platform-component-wiki платформы создания совместных веб-приложений XWiki Platform связана с отсутствием авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

XWiki Platform

Версия ПО

от 16.5.0-rc-1 до 16.8.0-rc-1 (XWiki Platform)
от 16.0.0-rc-1 до 16.4.3 (XWiki Platform)
от 15.9-rc-1 до 15.10.12 (XWiki Platform)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://jira.xwiki.org/browse/XWIKI-22460

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 76%
0.00922
Низкий

9 Critical

CVSS3

9 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-32973

CVSS3: 9
nvd
9 месяцев назад

XWiki is a generic wiki platform. In versions starting from 15.9-rc-1 to before 15.10.12, from 16.0.0-rc-1 to before 16.4.3, and from 16.5.0-rc-1 to before 16.8.0-rc-1, when a user with programming rights edits a document in XWiki that was last edited by a user without programming rights and contains an XWiki.ComponentClass, there is no warning that this will grant programming rights to this object. An attacker who created such a malicious object could use this to gain programming rights on the wiki. For this, the attacker needs to have edit rights on at least one page to place this object and then get an admin user to edit that document. This issue has been patched in versions 15.10.12, 16.4.3, and 16.8.0-rc-1.

github логотип

GHSA-x7wv-5qg4-vmr6

CVSS3: 9
github
9 месяцев назад

org.xwiki.platform:xwiki-platform-component-wiki provides no warning when granting XWiki.ComponentClass programming right

EPSS

Процентиль: 76%
0.00922
Низкий

9 Critical

CVSS3

9 Critical

CVSS2