Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-13441

Опубликовано: 13 июн. 2025
Источник: fstec
CVSS3: 8.8
CVSS2: 9
EPSS Низкий

Описание

Уязвимость платформы создания совместных веб-приложений XWiki Platform XWiki связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю , действующему удаленно, выполнить произвольный код

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

XWiki Platform

Версия ПО

от 17.0.0-rc-1 до 17.0.0 (XWiki Platform)
от 16.5.0-rc-1 до 16.10.3 (XWiki Platform)
от 11.10.11 до 12.0 (XWiki Platform)
от 12.6.3 до 12.7 (XWiki Platform)
от 12.8-rc-1 до 16.4.7 (XWiki Platform)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,8)
Высокий уровень опасности (оценка CVSS 4.0 составляет 8,7)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-9875-cw22-f7cx

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 80%
0.01429
Низкий

8.8 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-49581

CVSS3: 8.8
nvd
8 месяцев назад

XWiki is a generic wiki platform. Any user with edit right on a page (could be the user's profile) can execute code (Groovy, Python, Velocity) with programming right by defining a wiki macro. This allows full access to the whole XWiki installation. The main problem is that if a wiki macro parameter allows wiki syntax, its default value is executed with the rights of the author of the document where it is used. This can be exploited by overriding a macro like the children macro that is used in a page that has programming right like the page XWiki.ChildrenMacro and thus allows arbitrary script macros. This vulnerability has been patched in XWiki 16.4.7, 16.10.3 and 17.0.0 by executing wiki parameters with the rights of the wiki macro's author when the parameter's value is the default value.

github логотип

GHSA-9875-cw22-f7cx

github
8 месяцев назад

XWiki allows remote code execution through default value of wiki macro wiki-type parameters

EPSS

Процентиль: 80%
0.01429
Низкий

8.8 High

CVSS3

9 Critical

CVSS2