Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-09450

Опубликовано: 23 янв. 2025
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Низкий

Описание

Уязвимость модуля xwiki-platform-oldcore платформы создания совместных веб-приложений XWiki Platform XWiki связана с недостатками разграничения доступа к личной информации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

XWiki Platform

Версия ПО

от 1.1 до 16.4.7 (XWiki Platform)
от 16.5.0-rc-1 до 16.10.5 (XWiki Platform)
от 17.0.0-rc-1 до 17.2.0-rc-1 (XWiki Platform)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5,3)
Высокий уровень опасности (оценка CVSS 4.0 составляет 8,7)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/xwiki/xwiki-platform/releases/tag/xwiki-platform-17.2.0-rc-1
https://github.com/xwiki/xwiki-platform/releases/tag/xwiki-platform-16.10.5
https://github.com/xwiki/xwiki-platform/releases/tag/xwiki-platform-16.4.7
https://github.com/xwiki/xwiki-platform/commit/742ee3482ef6c2bd4ad03d0de9cdd81d0e8f3d59

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 10%
0.00037
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-54125

nvd
12 дней назад

XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. XWiki Platform Legacy Old Core and XWiki Platform Old Core versions 1.1 through 16.4.6, 16.5.0-rc-1 through 16.10.4 and 17.0.0-rc-1 through 17.1.0, the XML export of a page in XWiki that can be triggered by any user with view rights on a page by appending ?xpage=xml to the URL includes password and email properties stored on a document that aren't named password or email. This is fixed in versions 16.4.7, 16.10.5 and 17.2.0-rc-1. To work around this issue, the file templates/xml.vm in the deployed WAR can be deleted if the XML isn't needed. There isn't any feature in XWiki itself that depends on the XML export.

github логотип

GHSA-57q2-6cp4-9mq3

github
12 дней назад

XWiki exposes passwords and emails stored in fields not named password/email in xml.vm

EPSS

Процентиль: 10%
0.00037
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2