Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-13436

Опубликовано: 29 апр. 2025
Источник: fstec
CVSS3: 2.7
CVSS2: 4
EPSS Низкий

Описание

Уязвимость API-интерфейса скриптов компилятора LESS платформы создания совместных веб-приложений XWiki Platform XWiki связана с неправильной авторизацией. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, замедлить время работы платформы

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

XWiki Platform

Версия ПО

от 16.0.0-rc-1 до 16.4.4 (XWiki Platform)
от 16.5.0-rc-1 до 16.8.0-rc-1 (XWiki Platform)
от 6.1-milestone-1 до 15.10.12 (XWiki Platform)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4)
Низкий уровень опасности (базовая оценка CVSS 3.1 составляет 2,7)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://jira.xwiki.org/browse/XWIKI-22462

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 15%
0.00048
Низкий

2.7 Low

CVSS3

4 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-32972

CVSS3: 2.7
nvd
9 месяцев назад

XWiki is a generic wiki platform. In versions starting from 6.1-milestone-1 to before 15.10.12, from 16.0.0-rc-1 to before 16.4.3, and from 16.5.0-rc-1 to before 16.8.0-rc-1, the script API of the LESS compiler in XWiki is incorrectly checking for rights when calling the cache cleaning API, making it possible to clean the cache without having programming right. The only impact of this is a slowdown in XWiki execution as the caches are re-filled. As this vulnerability requires script right to exploit, and script right already allows unlimited execution of scripts, the additional impact due to this vulnerability is low. This issue has been patched in versions 15.10.12, 16.4.3, and 16.8.0-rc-1.

github логотип

GHSA-rp38-24m3-rx87

CVSS3: 2.7
github
9 месяцев назад

The lesscss script service allows cache clearing without programming right

EPSS

Процентиль: 15%
0.00048
Низкий

2.7 Low

CVSS3

4 Medium

CVSS2