Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

Org.xwiki.platform›Приложениеanchore_overrides

Xwiki-platform-rest-server

Уязвимости

8

Эксплуатируемые

0

Макс. CVSS

9.3

Макс. EPSS

0.77919

Распределение по критичности

Критический

3

Высокий

3

Средний

2

Низкий

0

Затронутые диапазоны версий

1.8.0–15.10.91.8.1–14.10.221.8–15.10.161.9m1–15.10.1410.9–16.4.74.3-milestone-1–16.10.9< 16.10.11< 16.10.17

Топ уязвимостей

CVE-2026-33137XWiki Platform - это универсальная вики-платформа, предлагаюная услуги по эксплуатации для приложений, построенных поверх нее. XWiki Platform - это универсальная вики-платформа. В версиях, начиная с 15.10.6 и до 18.1.0-rc-1, 17.10.3, 17.4.9 и 16.10.17, POST /wikis/{wikiName} API выполняет импорт XAR без выполнения каких-либо проверок аутентификации или авторизации, что позволяет неаутентифицированному злоумышленнику создавать или обновлять документы в целевом виках. Эта уязвимость была исправлена в XWiki 16.10.17, 17.4.9, 17.10.3, 18.0.1 и 18.1.0-rc-1.

CVE-2025-52472XWiki Platform - это универсальная платформа вики, предлагаюная услуги по эксплуатации для приложений, построенных поверх нее. Начиная с 4,3-мильного 1-версии-1 и до версий 16.10.9, 17.4.2 и 17.5.0, URL поиска REST уязвим для HQL-инъекции через параметр «orderField». Указанные значения добавляются дважды в запросе, хотя, один раз в списке поля для выбранного и один раз в пункте заказа, поэтому его не так просто эксплуатировать. Часть запроса между двумя полями может быть заключена в отдельные кавычки, чтобы эффективно удалить их, но запрос все еще должен оставаться действительным с запросом два раза в нем. Это было исправлено в версиях 17.5.0, 17.4.2 и 16.10.9. Известных обходных сил не имеется.

CVE-2025-32969XWiki — это универсальная платформа вики. В версиях с 1.8 до 15.10.16, 16.4.6 и 16.10.1 существует возможность для удаленного неаутентифицированного пользователя выйти из контекста выполнения HQL и выполнить слепую SQL-инъекцию для выполнения произвольных SQL-запросов на серверной части базы данных, в том числе когда включены опции «Запретить незарегистрированным пользователям просматривать страницы, независимо от прав страницы» и «Запретить незарегистрированным пользователям редактировать страницы, независимо от прав страницы». В зависимости от используемой серверной части базы данных злоумышленник может не только получить конфиденциальную информацию, такую как хеши паролей из базы данных, но и выполнить запросы UPDATE/INSERT/DELETE. Проблема устранена в версиях 16.10.1, 16.4.6 и 15.10.16. Известных способов обхода, кроме обновления XWiki, нет [1]. Источники: - [1] https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-f69v-xrj8-rhxf - [2] https://github.com/xwiki/xwiki-platform/commit/5c11a874bd24a581f534d283186e209bbccd8113 - [3] https://jira.xwiki.org/browse/XWIKI-22691

CVE-2025-66473XWiki - это программная платформа для вики с открытым исходным кодом. Версии 16.10.10 и ниже, 17.0.0-rc-1 до 17.4.3 и 17.5.0-rc-1 до 17.6.0 содержат REST API, который не обеспечивает соблюдение каких-либо ограничений для количества элементов, которые могут быть запрошены в одном запросе в данный момент. В зависимости от количества страниц в вики и конфигурации памяти, это может привести к замедлению и недоступности вики. Например, ресурс /rest/wikis/xwiki/spaces возвращает все пространства на вики по умолчанию, которые в основном представляют собой все страницы. Эта проблема исправлена в версиях 17.4.4 и 16.10.11.

CVE-2025-49584XWiki — это универсальная вики-платформа. В версиях XWiki Platform от 10.9 до 16.4.6, 16.5.0-rc-1 до 16.10.2 и 17.0.0-rc-1 заголовок каждой страницы, на которую есть ссылка, может быть доступен через REST API, если XClass со свойством страницы доступен, что является настройкой по умолчанию для установки XWiki. Это позволяет злоумышленнику получить заголовки страниц, ссылки на которые известны, по одному заголовку за запрос. Это не затрагивает полностью частные вики, поскольку конечная точка REST проверяет права доступа к определению XClass. Влияние на конфиденциальность зависит от стратегии именования страниц. По умолчанию имена страниц совпадают с заголовками, поэтому влияние должно быть низким, но если имена страниц намеренно обфусцированы, поскольку заголовки являются конфиденциальными, влияние может быть высоким. Это было исправлено в XWiki 16.4.7, 16.10.3 и 17.0.0 путем добавления проверок контроля доступа перед получением заголовка любой страницы [1]. Источники: - [1] https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-mvp5-qx9c-c3fv - [2] https://github.com/xwiki/xwiki-platform/commit/ee642f973a7c95d2d146fe03c81bcdee1871f4ec - [3] https://jira.xwiki.org/browse/XWIKI-22736

CVE-2025-29925XWiki Platform — это универсальная вики-платформа. Ранее версии 15.10.14, 16.4.6 и 16.10.0-rc-1 защищённые страницы отображались при запросе REST-эндпоинтов /rest/wikis/[wikiName]/pages, даже если у пользователя не было прав на их просмотр. Это особенно верно, если вся вики-защита установлена с помощью "Запретить незарегистрированному пользователю просмотр страниц": эндпоинт всё равно отображал страницы вики, хотя только для основной вики. Проблема была исправлена в версиях XWiki 15.10.14, 16.4.6, 16.10.0RC1. В этих версиях эндпоинт всё равно может быть запрошен, но результат фильтруется на основе прав на страницы.

CVE-2025-46554XWiki представляет собой универсальную wiki-платформу. В версиях, начиная с 1.8.1 до 14.10.22, с 15.0-rc-1 до 15.10.12, с 16.0.0-rc-1 до 16.4.3 и с 16.5.0-rc-1 до 16.7.0, любой пользователь может получить доступ к метаданным любого вложения в wiki, используя REST API вложений. Отсутствует фильтрация результатов в зависимости от прав текущего пользователя, что позволяет неаутентифицированным пользователям эксплуатировать эту уязвимость даже в закрытой wiki. Проблема решена в версиях 14.10.22, 15.10.12, 16.4.3 и 16.7.0 [1]. Источники: - [1] https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-r5cr-xm48-97xp - [2] https://github.com/xwiki/xwiki-platform/commit/37ecea84fdd053c33733c2ae9a0778bf98eae608 - [3] https://github.com/xwiki/xwiki-platform/commit/a43e933ddeda17dad1772396e1757998260e9342 - [4] https://github.com/xwiki/xwiki-platform/commit/c02ce7843a39851865b9d7b6132e32fdd21e3856 - [5] https://jira.xwiki.org/browse/XWIKI-22424

CVE-2024-45591XWiki Platform - это универсальная вики-платформа. REST API предоставляет историю любой страницы в XWiki, имя которой известно злоумышленнику. Предоставленная информация включает для каждого изменения страницы время изменения, номер версии, автора изменения (как имя пользователя, так и отображаемое имя) и комментарий к версии. Эта информация предоставляется независимо от настроек прав и даже тогда, когда вики настроена как полностью частная. В частной вики это можно проверить, обратившись к /xwiki/rest/wikis/xwiki/spaces/Main/pages/WebHome/history, если это показывает историю главной страницы, то установка уязвима. Эта проблема исправлена в XWiki 15.10.9 и XWiki 16.3.0RC1.

Перейти к вендору →Открыть в каталоге с фильтром по продукту →