BDU:2025-14640

Опубликовано: 06 окт. 2025

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Низкий

Описание

Уязвимость набора инструментов для работы с протоколом OpenID Connect связана с неправильной авторизацией. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

XWiki OIDC

Версия ПО

от 2.17.1 до 2.18.2 (XWiki OIDC)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,8)

Критический уровень опасности (оценка CVSS 4.0 составляет 9,2)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/xwiki-contrib/oidc/security/advisories/GHSA-f2hf-pfrj-vrm7

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://github.com/xwiki-contrib/oidc/security/advisories/GHSA-f2hf-pfrj-vrm7

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-49594
CVE

EPSS

Процентиль: 37%

0.00162

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2025-49594

nvd

4 месяца назад

XWiki OIDC has various tools to manipulate OpenID Connect protocol in XWiki. Starting in version 2.17.1 and prior to version 2.18.2, anyone with VIEW access to a user profile can create a token for that user. If that XWiki instance is configured to allow token authentication, it allows authentication with any user (since users are very commonly viewable, at least to other registered users). Version 2.18.2 contains a patch. As a workaround, disable token access.

GHSA-f2hf-pfrj-vrm7

github