BDU:2025-13439

Опубликовано: 26 июл. 2025

Источник: fstec

CVSS3: 4.7

CVSS2: 6.5

EPSS Низкий

Описание

Уязвимость платформы создания совместных веб-приложений XWiki Platform XWiki связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

XWiki Platform

Версия ПО

до 16.10.6 (XWiki Platform)

до 17.3.0-rc-1 (XWiki Platform)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,5)

Средний уровень опасности (базовая оценка CVSS 3.1 составляет 4,7)

Высокий уровень опасности (оценка CVSS 4.0 составляет 8,6)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-p9qm-p942-q3w5

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-54385
CVE

EPSS

Процентиль: 72%

0.00719

Низкий

4.7 Medium

CVSS3

6.5 Medium

CVSS2

Связанные уязвимости

CVE-2025-54385

CVSS3: 9.8

nvd

7 месяцев назад

XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. In versions between 17.0.0-rc1 to 17.2.2 and versions 16.10.5 and below, it's possible to execute any SQL query in Oracle by using the function like DBMS_XMLGEN or DBMS_XMLQUERY. The XWiki#searchDocuments APIs pass queries directly to Hibernate without sanitization. Even when these APIs enforce a specific SELECT clause, attackers can still inject malicious code through HQL's native function support in other parts of the query (such as the WHERE clause). This is fixed in versions 16.10.6 and 17.3.0-rc-1.

GHSA-p9qm-p942-q3w5

github