anchore_overrides
Org.xwiki.platform
Уязвимости
68
Эксплуатируемые
1
Критический
11
Высокий
34
Топ продуктов
Xwiki-platform-oldcore14Xwiki-platform-rest-server8Xwiki-platform-web-templates5Xwiki-platform-legacy-oldcore3Xwiki-platform-scheduler-ui3Xwiki-platform-search-ui3Xwiki-platform-security-requiredrights-default3Xwiki-platform-distribution-war2Xwiki-platform-notifications-notifiers-default2Xwiki-platform-notifications-ui2Xwiki-platform-search-solr-ui2Xwiki-platform-administration-ui1Xwiki-platform-component-wiki1Xwiki-platform-help-ui1Xwiki-platform-lesscss-script1Xwiki-platform-localization-source-wiki1Xwiki-platform-messagestream1Xwiki-platform-realtime-ui1Xwiki-platform-realtime-wysiwyg-ui1Xwiki-platform-refactoring-default1
Топ уязвимостей
CVE-2025-24893XWiki Platform является универсальной вики-платформой, предлагающей программные услуги для приложений, построенных на ее основе. Любой гость может выполнить произвольное удаленное выполнение кода через запрос к `SolrSearch`. Это влияет на конфиденциальность, целостность и доступность всей установки XWiki. Чтобы воспроизвести на экземпляре, не будучи зарегистрированным, перейдите к `<host>/xwiki/bin/get/Main/SolrSearch?media=rss&text=%7D%7D%7D%7B%7Basync%20async%3Dfalse%7D%7D%7B%7Bgroovy%7D%7Dprintln%28"Hello%20from"%20%2B%20"%20search%20text%3A"%20%2B%20%2823%20%2B%2019%29%29%7B%7B%2Fgroovy%7D%7D%7B%7B%2Fasync%7D%7D%20`. Если есть вывод, и заголовок RSS-канала содержит `Hello from search text:42`, то экземпляр уязвим. Эта уязвимость была устранена в XWiki 15.10.11, 16.4.1 и 16.5.0RC1. Пользователям рекомендуется обновиться. Пользователи, не имеющие возможности обновиться, могут изменить `Main.SolrSearchMacros` в `SolrSearchMacros.xml` на строке 955, чтобы соответствовать макросу `rawResponse` в `macros.vm#L2824` с типом контента `application/xml`, вместо простого вывода содержимого канала.
CVE-2024-31982Платформа XWiki является универсальной платформой вики. Начиная с версии 2.4-milestone-1 и до версий 4.10.20, 15.5.4 и 15.10-rc-1, поисковая функция базы данных XWiki позволяет удаленное выполнение кода через текст поиска. Это дает возможность удаленного выполнения кода для любого посетителя публичной вики или пользователя закрытой вики, так как поиск по базе данных по умолчанию доступен для всех пользователей. Это затрагивает конфиденциальность, целостность и доступность всей установки XWiki. Эта уязвимость была исправлена в XWiki 14.10.20, 15.5.4 и 15.10RC1. В качестве обходного пути можно вручную применить исправление к странице `Main.DatabaseSearch`. В противном случае, если поиск в базе данных явно не используется пользователями, эту страницу можно удалить, так как она не является интерфейсом поиска по умолчанию в XWiki.
CVE-2026-33137XWiki Platform - это универсальная вики-платформа, предлагаюная услуги по эксплуатации для приложений, построенных поверх нее. XWiki Platform - это универсальная вики-платформа. В версиях, начиная с 15.10.6 и до 18.1.0-rc-1, 17.10.3, 17.4.9 и 16.10.17, POST /wikis/{wikiName} API выполняет импорт XAR без выполнения каких-либо проверок аутентификации или авторизации, что позволяет неаутентифицированному злоумышленнику создавать или обновлять документы в целевом виках. Эта уязвимость была исправлена в XWiki 16.10.17, 17.4.9, 17.10.3, 18.0.1 и 18.1.0-rc-1.
CVE-2025-55748XWiki Platform - это универсальная вики-платформа, предоставляющая сервисы во время выполнения для приложений, построенных на ее основе. В версиях от 4.2-milestone-2 до 16.10.6 файлы конфигурации доступны через конечные точки jsx и sx. Возможно получить доступ и прочитать файлы конфигурации, используя URL-адреса типа `http://localhost:8080/bin/ssx/Main/WebHome?resource=../../WEB-INF/xwiki.cfg&minify=false`. Это исправлено в версии 16.10.7 [1].
Источники:
- [1] https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-m63c-3rmg-r2cf
CVE-2025-55747Уязвимость в XWiki Platform позволяет получить доступ к файлам конфигурации через API webjars. Проблема затрагивает XWiki Platform версии с 6.1-milestone-2 до 16.10.6. Обновите XWiki до версии 16.10.7 или 17.4.0-rc-1, чтобы устранить эту уязвимость. Подробности доступны на GitHub [1].
Источники:
- [1] https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-qww7-89xh-x7m7
CVE-2025-52472XWiki Platform - это универсальная платформа вики, предлагаюная услуги по эксплуатации для приложений, построенных поверх нее. Начиная с 4,3-мильного 1-версии-1 и до версий 16.10.9, 17.4.2 и 17.5.0, URL поиска REST уязвим для HQL-инъекции через параметр «orderField». Указанные значения добавляются дважды в запросе, хотя, один раз в списке поля для выбранного и один раз в пункте заказа, поэтому его не так просто эксплуатировать. Часть запроса между двумя полями может быть заключена в отдельные кавычки, чтобы эффективно удалить их, но запрос все еще должен оставаться действительным с запросом два раза в нем. Это было исправлено в версиях 17.5.0, 17.4.2 и 16.10.9. Известных обходных сил не имеется.
CVE-2025-32969XWiki — это универсальная платформа вики. В версиях с 1.8 до 15.10.16, 16.4.6 и 16.10.1 существует возможность для удаленного неаутентифицированного пользователя выйти из контекста выполнения HQL и выполнить слепую SQL-инъекцию для выполнения произвольных SQL-запросов на серверной части базы данных, в том числе когда включены опции «Запретить незарегистрированным пользователям просматривать страницы, независимо от прав страницы» и «Запретить незарегистрированным пользователям редактировать страницы, независимо от прав страницы». В зависимости от используемой серверной части базы данных злоумышленник может не только получить конфиденциальную информацию, такую как хеши паролей из базы данных, но и выполнить запросы UPDATE/INSERT/DELETE. Проблема устранена в версиях 16.10.1, 16.4.6 и 15.10.16. Известных способов обхода, кроме обновления XWiki, нет [1].
Источники:
- [1] https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-f69v-xrj8-rhxf
- [2] https://github.com/xwiki/xwiki-platform/commit/5c11a874bd24a581f534d283186e209bbccd8113
- [3] https://jira.xwiki.org/browse/XWIKI-22691
CVE-2025-32429XWiki Platform - это универсальная wiki-платформа, предлагающая сервисы времени выполнения для приложений, построенных на ее основе. В версиях с 9.4-rc-1 по 16.10.5 и с 17.0.0-rc-1 по 17.2.2 существует возможность внедрения SQL с помощью параметра `sort` в шаблоне `getdeleteddocuments.vm`. Это происходит потому, что входные данные не фильтруются должным образом. Уязвимость исправлена в версиях 16.10.6 и 17.3.0-rc-1 [1].
Источники:
- [1] https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-vr59-gm53-v7cq
CVE-2024-56158XWiki представляет собой универсальную платформу вики. Возможно выполнить любой SQL-запрос в Oracle, используя функции вроде DBMS_XMLGEN или DBMS_XMLQUERY. Валидатор запросов XWiki не очищает функции, которые будут использоваться в простом select, а Hibernate позволяет использовать любую родную функцию в запросе HQL [1]. Эта уязвимость исправлена в версиях 16.10.2, 16.4.7 и 15.10.16.
Источники:
- [1] https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-prwh-7838-xf82
- [2] https://jira.xwiki.org/browse/XWIKI-22734
CVE-2025-32974XWiki представляет собой универсальную платформу вики. В версиях, начиная с 15.9-rc-1 до версии 15.10.8 и от 16.0.0-rc-1 до версии 16.2.0, анализ требуемых прав не учитывает TextAreas с типом контента по умолчанию. При редактировании страницы XWiki предупреждает с версии 15.9, когда на странице есть контент, например макрос скрипта, который получит больше прав из-за редактирования. Этот анализ не учитывает определенные виды свойств, позволяя пользователю поместить вредоносные скрипты, которые будут выполнены после того, как пользователь с правами скрипта, администратора или программирования отредактирует страницу. Такой вредоносный скрипт может повлиять на конфиденциальность, целостность и доступность всей установки XWiki. Эта проблема была исправлена в версиях 15.10.8 и 16.2.0. Подробные шаги воспроизведения описаны в источнике [1].
Источники:
- [1] https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-mvgm-3rw2-7j4r
- [2] https://github.com/xwiki/xwiki-platform/commit/153dbfa2ef1a7a0a644fe3f889684c6a8738c5fc
- [3] https://jira.xwiki.org/browse/XWIKI-22002
CVE-2025-32973В XWiki, начиная с версии 15.9-rc-1 до 15.10.12, 16.0.0-rc-1 до 16.4.3, и 16.5.0-rc-1 до 16.8.0-rc-1, существует проблема, когда пользователь с правами программирования редактирует документ, содержащий XWiki.ComponentClass, который был ранее отредактирован пользователем без прав программирования. В таких случаях не отображается предупреждение о том, что это предоставит права программирования этому объекту. Злоумышленник может создать такой объект и затем заставить администратора отредактировать этот документ, получив таким образом права программирования на вики [1].
Проблема исправлена в версиях 15.10.12, 16.4.3 и 16.8.0-rc-1.
Источники:
- [1] https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-x7wv-5qg4-vmr6
CVE-2024-55879XWiki Platform — это универсальная платформа вики. Начиная с версии 2.3 и до версий 15.10.9, 16.3.0, любой пользователь с правами сценария может выполнить произвольное удаленное выполнение кода, добавляя экземпляры `XWiki.ConfigurableClass` на любую страницу. Это ставит под угрозу конфиденциальность, целостность и доступность всей установки XWiki. Это было исправлено в XWiki 15.10.9 и 16.3.0. Неизвестно никаких обходных путей, кроме обновления.
CVE-2024-55877XWiki Platform — это универсальная платформа вики. Начиная с версии 9.7-rc-1 и до версий 15.10.11, 16.4.1 и 16.5.0, любой пользователь с учетной записью может выполнить произвольное удаленное выполнение кода, добавляя экземпляры `XWiki.WikiMacroClass` на любую страницу. Это ставит под угрозу конфиденциальность, целостность и доступность всей установки XWiki. Эта уязвимость была устранена в XWiki 15.10.11, 16.4.1 и 16.5.0. В качестве обходного пути можно вручную применить исправление к странице `XWiki.XWikiSyntaxMacrosList`.
CVE-2024-55662XWiki Platform — это универсальная платформа вики. Начиная с версии 3.3-milestone-1 и до версий 15.10.9 и 16.3.0, в экземплярах, где установлено `Extension Repository Application`, любой пользователь может выполнять любой код, требующий прав `programming` на сервере. Эта уязвимость была устранена в XWiki 15.10.9 и 16.3.0. Поскольку `Extension Repository Application` не является обязательным, его можно безопасно отключить в экземплярах, которые не используют его в качестве обходного пути. Также можно вручную применить исправления из коммита 8659f17d500522bf33595e402391592a35a162e8 к странице `ExtensionCode.ExtensionSheet` и к странице `ExtensionCode.ExtensionAuthorsDisplayer`.
CVE-2024-37901XWiki Platform — это универсальная вики-платформа, предлагающая службы времени выполнения для приложений, построенных на ее основе. Любой пользователь с правом редактирования любой страницы может выполнить произвольное удаленное выполнение кода, добавляя экземпляры `XWiki.SearchSuggestConfig` и `XWiki.SearchSuggestSourceClass` в свой профиль пользователя или на любую другую страницу. Это ставит под угрозу конфиденциальность, целостность и доступность всей установки XWiki. Эта уязвимость была исправлена в XWiki 14.10.21, 15.5.5 и 15.10.2.
CVE-2024-31997XWiki Platform — это универсальная платформа вики. До версий 4.10.19, 15.5.4 и 15.10-rc-1 параметры расширений пользовательского интерфейса всегда интерпретируются как код Velocity и выполняются с правами программирования. Любой пользователь с правом редактирования любого документа, например собственного профиля пользователя, может создавать расширения пользовательского интерфейса. Это позволяет удаленно выполнять код и, следовательно, влияет на конфиденциальность, целостность и доступность всей установки XWiki. Эта уязвимость была исправлена в XWiki 14.10.19, 15.5.4 и 15.9-RC1. Никаких известных обходных путей не существует.
CVE-2024-31988XWiki Platform — это универсальная платформа вики. Начиная с версии 13.9-rc-1 и до версий 4.10.19, 15.5.4 и 15.10-rc-1, когда редактор реального времени установлен в XWiki, он допускает произвольное удаленное выполнение кода при взаимодействии пользователя-администратора с правами программирования. Точнее, заставив пользователя-администратора посетить специально созданный URL-адрес или просмотреть изображение с этим URL-адресом, который может быть в комментарии, злоумышленник может заставить администратора выполнить произвольный синтаксис XWiki, включая макросы сценариев с кодом Groovy или Python. Это ставит под угрозу конфиденциальность, целостность и доступность всей установки XWiki. Эта уязвимость была исправлена в XWiki 14.10.19, 15.5.4 и 15.9. В качестве обходного пути можно вручную обновить `RTFrontend.ConvertHTML` с помощью патча. Однако это нарушит некоторые процессы синхронизации в редакторе реального времени, поэтому обновление должно быть предпочтительным способом установки, где используется этот редактор.
CVE-2024-31987XWiki Platform — это универсальная платформа вики. Начиная с версии 6.4-milestone-1 и до версий 4.10.19, 15.5.4 и 15.10-rc-1, любой пользователь, который может редактировать любую страницу, например свой профиль, может создать собственную тему оформления с переопределением шаблона, который выполняется с правами программирования, что позволяет удаленно выполнять код. Эта уязвимость была исправлена в XWiki 14.10.19, 15.5.4 и 15.10RC1. Никаких известных обходных путей, кроме обновления, не существует.
CVE-2024-31986XWiki Platform — это универсальная платформа вики. Начиная с версии 3.1 и до версий 4.10.19, 15.5.4 и 15.10-rc-1, создав документ со специальной созданной ссылкой на документ и XObject `XWiki.SchedulerJobClass`, можно выполнить произвольный код на сервере всякий раз, когда администратор посещает страницу планировщика или на страницу планировщика есть ссылка, например, через изображение в комментарии на странице в вики. Уязвимость была исправлена в XWiki 14.10.19, 15.5.5 и 15.9. В качестве обходного пути примените патч вручную, изменив страницу `Scheduler.WebHome`.
CVE-2024-31984XWiki Platform — это универсальная платформа вики. Начиная с версии 7.2-rc-1 и до версий 4.10.20, 15.5.4 и 15.10-rc-1, создав документ со специально созданным заголовком, можно вызвать удаленное выполнение кода в (на основе Solr) поиске в XWiki. Это позволяет любому пользователю, который может редактировать заголовок пространства (по умолчанию всем пользователям), выполнять любой код Groovy в установке XWiki, что ставит под угрозу конфиденциальность, целостность и доступность всей установки XWiki. Эта уязвимость была исправлена в XWiki 14.10.20, 15.5.4 и 15.10 RC1. В качестве обходного пути вручную примените патч к странице `Main.SolrSpaceFacet`.
CVE-2024-31983XWiki Platform — это универсальная платформа вики. В многоязычных вики переводы могут редактироваться любым пользователем, имеющим право на редактирование, что обходит права, которые обычно требуются для создания переводов (право на сценарий для переводов в области пользователя, администратор вики для переводов в вики). Начиная с версии 4.3-milestone-2 и до версий 4.10.20, 15.5.4 и 15.10-rc-1, это можно использовать для удаленного выполнения кода, если значение перевода неправильно экранируется там, где оно используется. Эта уязвимость была исправлена в XWiki 14.10.20, 15.5.4 и 15.10RC1. В качестве обходного пути можно ограничить права на редактирование документов, содержащих переводы.
CVE-2024-31981XWiki Platform — это универсальная вики-платформа. Начиная с версии 3.0.1 и до версий 4.10.20, 15.5.4 и 15.10-rc-1, возможно удаленное выполнение кода через шаблоны экспорта PDF. Эта уязвимость была исправлена в XWiki 14.10.20, 15.5.4 и 15.10-rc-1. Если шаблоны PDF обычно не используются в экземпляре, администратор может создать документ `XWiki.PDFClass` и заблокировать его редактирование, убедившись, что он не содержит атрибут `style`. В противном случае, помимо обновления, нет известных обходных путей.
CVE-2024-31465XWiki Platform — это универсальная платформа вики. Начиная с версии 5.0-rc-1 и до версий 14.10.20, 15.5.4 и 15.9-rc-1, любой пользователь с правом редактирования на любой странице может выполнить любой код на сервере, добавив объект типа `XWiki.SearchSuggestSourceClass` в свой профиль пользователя или на любую другую страницу. Это ставит под угрозу конфиденциальность, целостность и доступность всей установки XWiki. Эта уязвимость была исправлена в XWiki 14.10.20, 15.5.4 и 15.10 RC1. В качестве обходного пути вручную примените исправление к документу `XWiki.SearchSuggestSourceSheet`.
CVE-2025-66473XWiki - это программная платформа для вики с открытым исходным кодом. Версии 16.10.10 и ниже, 17.0.0-rc-1 до 17.4.3 и 17.5.0-rc-1 до 17.6.0 содержат REST API, который не обеспечивает соблюдение каких-либо ограничений для количества элементов, которые могут быть запрошены в одном запросе в данный момент. В зависимости от количества страниц в вики и конфигурации памяти, это может привести к замедлению и недоступности вики. Например, ресурс /rest/wikis/xwiki/spaces возвращает все пространства на вики по умолчанию, которые в основном представляют собой все страницы. Эта проблема исправлена в версиях 17.4.4 и 16.10.11.
CVE-2025-55749XWiki - это программная платформа с открытым исходным кодом. С 16.7.0 до 16.10.11, 17.4.4 или 17.7.0, в экземпляре, который использует пакет XWiki Jetty (XJetty), контекст подвергается воздействию статически доступа к любому файлу, расположенному в папке веб-приложении. Это позволяет получать доступ к файлам, которые могут содержать учетные данные. Зафиксировано в 16.10.11, 17.4.4 и 17.7.0.