Jspwiki
Уязвимости
31
Эксплуатируемые
0
Макс. CVSS
9.3
Макс. EPSS
0.85727
Распределение по критичности
Критический
3
Высокий
4
Средний
24
Низкий
0
Также сопоставлено как (исходные строки): jspwiki
Топ уязвимостей
CVE-2008-1231Уязвимость обхода каталога в Edit.jsp в JSPWiki 2.4.104 и 2.5.139 позволяет удаленным злоумышленникам включать и выполнять произвольные локальные .jsp файлы и получать конфиденциальную информацию через .. (две точки) в параметре editor.
CVE-2008-1230Уязвимость неограниченной загрузки файлов в JSPWiki 2.4.104 и 2.5.139 позволяет удаленным злоумышленникам загружать и выполнять произвольные .jsp файлы через неуказанную манипуляцию, которая прикрепляет .jsp файл к "странице входа".
CVE-2021-44140Удаленные злоумышленники могут удалять произвольные файлы в системе, на которой размещен экземпляр JSPWiki, версии до 2.11.0.M8, используя тщательно разработанный HTTP-запрос на выход из системы, при условии, что эти файлы доступны пользователю, запустившему экземпляр JSPWiki. Пользователям Apache JSPWiki следует обновиться до версии 2.11.0 или более поздней.
CVE-2022-34158Тщательно разработанный вызов плагина Image может вызвать уязвимость CSRF в Apache JSPWiki до версии 2.11.3, что может позволить повысить привилегии группы учетной записи злоумышленника. Дальнейшее изучение этой проблемы установило, что ее также можно использовать для изменения электронной почты, связанной с атакованной учетной записью, а затем запросить сброс пароля со страницы входа.
CVE-2022-24947Форма пользовательских настроек Apache JSPWiki уязвима для CSRF-атак, которые могут привести к захвату учетной записи. Пользователям Apache JSPWiki следует обновиться до версии 2.11.2 или более поздней.
CVE-2025-24853Специально сформированный запрос при создании ссылки в заголовке с использованием синтаксиса wiki-разметки может позволить злоумышленнику выполнить JavaScript в браузере жертвы и получить конфиденциальную информацию о жертве [1]. Дальнейшие исследования команды JSPWiki показали, что парсер markdown также допускал такого рода атаки. Пользователям Apache JSPWiki рекомендуется обновиться до версии 2.12.3 или более поздней.
Источники:
- [1] https://jspwiki-wiki.apache.org/Wiki.jsp?page=CVE-2025-24853
CVE-2019-0225Специально созданный URL-адрес можно использовать для доступа к файлам в каталоге ROOT приложения на Apache JSPWiki 2.9.0 - 2.11.0.M2, который злоумышленник может использовать для получения сведений о зарегистрированных пользователях.
CVE-2022-28731Тщательно составленный запрос к UserPreferences.jsp может вызвать CSRF-уязвимость в Apache JSPWiki до версии 2.11.3, что может позволить злоумышленнику изменить адрес электронной почты, связанный со скомпрометированной учетной записью, а затем запросить сброс пароля со страницы входа в систему.
CVE-2025-24854Специально сформированный запрос с использованием плагина Image может вызвать уязвимость межсайтового скриптинга в Apache JSPWiki, что позволит злоумышленнику выполнить JavaScript в браузере жертвы и получить конфиденциальную информацию о жертве. Пользователям Apache JSPWiki рекомендуется обновиться до версии 2.12.3 или более поздней [1].
Источники:
- [1] https://jspwiki-wiki.apache.org/Wiki.jsp?page=CVE-2025-24854
CVE-2024-27136XSS на странице загрузки в Apache JSPWiki 2.12.1 и более ранних версиях позволяет злоумышленнику выполнять javascript в браузере жертвы и получать некоторую конфиденциальную информацию о жертве. Пользователям Apache JSPWiki следует обновиться до версии 2.12.2 или более поздней.
CVE-2022-46907Тщательно составленный запрос на нескольких плагинах JSPWiki может вызвать уязвимость XSS на Apache JSPWiki, что может позволить злоумышленнику выполнить javascript в браузере жертвы и получить некоторую конфиденциальную информацию о жертве. Пользователи Apache JSPWiki должны обновиться до версии 2.12.0 или позже.
CVE-2022-28732Тщательно составленный запрос к WeblogPlugin может вызвать XSS-уязвимость в Apache JSPWiki, что может позволить злоумышленнику выполнить javascript в браузере жертвы и получить некоторую конфиденциальную информацию о жертве. Пользователям Apache JSPWiki следует обновиться до версии 2.11.3 или более поздней.
CVE-2022-28730Тщательно составленный запрос к AJAXPreview.jsp может вызвать XSS-уязвимость в Apache JSPWiki, что может позволить злоумышленнику выполнить javascript в браузере жертвы и получить некоторую конфиденциальную информацию о жертве. Эта уязвимость использует CVE-2021-40369, где плагин Denounce опасно отображает предоставленные пользователем URL-адреса. После повторного тестирования CVE-2021-40369 оказалось, что исправление было неполным, поскольку все еще можно было вставить вредоносный ввод через плагин Denounce. Пользователям Apache JSPWiki следует обновиться до версии 2.11.3 или более поздней.
CVE-2022-27166Тщательно разработанный запрос на XHRHtml2Markup.jsp может вызвать уязвимость XSS на Apache JSPWiki до версии 2.11.2 включительно, что может позволить злоумышленнику выполнить javascript в браузере жертвы и получить некоторую конфиденциальную информацию о жертве.
CVE-2022-24948Тщательно разработанные пользовательские настройки для отправки могут вызвать XSS-уязвимость в Apache JSPWiki, связанную с экраном пользовательских настроек, которая может позволить злоумышленнику выполнить javascript в браузере жертвы и получить некоторую конфиденциальную информацию о жертве. Пользователям Apache JSPWiki следует обновиться до версии 2.11.2 или более поздней.
CVE-2021-40369Тщательно созданный вызов ссылки на плагин может вызвать XSS-уязвимость в Apache JSPWiki, связанную с плагином Denounce, которая может позволить злоумышленнику выполнить javascript в браузере жертвы и получить конфиденциальную информацию о жертве. Пользователям Apache JSPWiki следует обновиться до версии 2.11.0 или более поздней.
CVE-2019-12407В Apache JSPWiki, вплоть до версии 2.11.0.M4, тщательно разработанный вызов ссылки плагина может вызвать XSS-уязвимость в Apache JSPWiki, связанную с параметром remember на некоторых JSP, которая может позволить злоумышленнику выполнить javascript в браузере жертвы и получить некоторую конфиденциальную информацию о жертве.
CVE-2019-12404В Apache JSPWiki, вплоть до версии 2.11.0.M4, тщательно разработанный вызов ссылки плагина может вызвать XSS-уязвимость в Apache JSPWiki, связанную с InfoContent.jsp, которая может позволить злоумышленнику выполнить javascript в браузере жертвы и получить некоторую конфиденциальную информацию о жертве.
CVE-2019-10090В Apache JSPWiki, вплоть до версии 2.11.0.M4, тщательно разработанный вызов ссылки плагина может вызвать уязвимость XSS в Apache JSPWiki, связанную с простым редактором, которая может позволить злоумышленнику выполнить javascript в браузере жертвы и получить некоторую конфиденциальную информацию о жертве.
CVE-2019-10089В Apache JSPWiki, вплоть до версии 2.11.0.M4, тщательно разработанный вызов ссылки плагина может вызвать уязвимость XSS в Apache JSPWiki, связанную с редактором WYSIWYG, которая может позволить злоумышленнику выполнить javascript в браузере жертвы и получить некоторую конфиденциальную информацию о жертве.
CVE-2019-10087В Apache JSPWiki, вплоть до версии 2.11.0.M4, тщательно разработанный вызов ссылки плагина может вызвать уязвимость XSS в Apache JSPWiki, связанную с историей изменений страницы, которая может позволить злоумышленнику выполнить javascript в браузере жертвы и получить некоторую конфиденциальную информацию о жертве.
CVE-2019-10078Тщательно разработанный вызов ссылки плагина может вызвать уязвимость XSS в Apache JSPWiki 2.9.0 до 2.11.0.M3, что может привести к перехвату сеанса. Первоначальные отчеты указывали на ReferredPagesPlugin, но дальнейший анализ показал, что уязвимы несколько плагинов.
CVE-2019-10077Тщательно разработанная ссылка InterWiki может вызвать уязвимость XSS в Apache JSPWiki 2.9.0 до 2.11.0.M3, что может привести к перехвату сеанса.
CVE-2019-10076Тщательно разработанное вредоносное вложение может вызвать уязвимость XSS в Apache JSPWiki 2.9.0 до 2.11.0.M3, что может привести к перехвату сеанса.
CVE-2019-0224В Apache JSPWiki 2.9.0 - 2.11.0.M2 тщательно созданный URL-адрес может выполнять javascript в сеансе другого пользователя. Никакая информация не может быть сохранена на сервере или в базе данных jspwiki, и злоумышленник не сможет выполнить js в браузере другого пользователя; только в своем собственном браузере.