Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-13435

Опубликовано: 29 апр. 2025
Источник: fstec
CVSS3: 3.8
CVSS2: 5.5
EPSS Низкий

Описание

Уязвимость сервиса скриптов Solr платформы создания совместных веб-приложений XWiki Platform XWiki связана с ошибками авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, удалять произвольные файлы

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

XWiki Platform

Версия ПО

от 4.5.1 до 15.10.13 (XWiki Platform)
от 16.0.0-rc-1 до 16.4.4 (XWiki Platform)
от 16.5.0-rc-1 до 16.8.0-rc-1 (XWiki Platform)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,5)
Низкий уровень опасности (базовая оценка CVSS 3.1 составляет 3,8)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://jira.xwiki.org/browse/XWIKI-22474

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 11%
0.00037
Низкий

3.8 Low

CVSS3

5.5 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-32971

CVSS3: 3.8
nvd
9 месяцев назад

XWiki is a generic wiki platform. In versions starting from 4.5.1 to before 15.10.13, from 16.0.0-rc-1 to before 16.4.4, and from 16.5.0-rc-1 to before 16.8.0-rc-1, the Solr script service doesn't take dropped programming rights into account. The Solr script service that is accessible in XWiki's scripting API normally requires programming rights to be called. Due to using the wrong API for checking rights, it doesn't take the fact into account that programming rights might have been dropped by calling `$xcontext.dropPermissions()`. If some code relies on this for the safety of executing Velocity code with the wrong author context, this could allow a user with script rights to either cause a high load by indexing documents or to temporarily remove documents from the search index. This issue has been patched in versions 15.10.13, 16.4.4, and 16.8.0-rc-1.

github логотип

GHSA-987p-r3jc-8c8v

CVSS3: 3.8
github
9 месяцев назад

Solr script service doesn't take dropped programming right into account

EPSS

Процентиль: 11%
0.00037
Низкий

3.8 Low

CVSS3

5.5 Medium

CVSS2