CVE-2025-49580

Опубликовано: 13 июн. 2025

Источник: nvd

CVSS3: 8

EPSS Низкий

Описание

XWiki is a generic wiki platform. From 8.2 and 7.4.5 until 17.1.0-rc-1, 16.10.4, and 16.4.7, pages can gain script or programming rights when they contain a link and the target of the link is renamed or moved. This might lead to execution of scripts contained in xobjects that should have never been executed. This vulnerability is fixed in 17.1.0-rc-1, 16.10.4, and 16.4.7.

Ссылки

https://github.com/xwiki/xwiki-platform/commit/ab209acd780da69a4c5ff77ff011efd698273cec
Patch
https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-jm43-hrq7-r7w6
Vendor Advisory
https://jira.xwiki.org/browse/XWIKI-22836
Exploit
Issue Tracking
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:*

Версия от 7.4.5 (включая) до 16.4.7 (исключая)

cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:*

Версия от 16.5.0 (включая) до 16.10.4 (исключая)

cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:*

Версия от 17.0.0 (включая) до 17.1.0 (исключая)

EPSS

Процентиль: 58%

0.00366

Низкий

8 High

CVSS3

Дефекты

CWE-266

Связанные уязвимости

GHSA-jm43-hrq7-r7w6

github

8 месяцев назад

XWiki allows privilege escalation through link refactoring

BDU:2025-13440

CVSS3: 8

fstec

8 месяцев назад

Уязвимость платформы создания совместных веб-приложений XWiki Platform, связанная с некорректным присваиванием привилегий, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код

EPSS

Процентиль: 58%

0.00366

Низкий

8 High

CVSS3

Дефекты

CWE-266