V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2025-54124
CVE
Высокий

Платформа XWiki представляет собой универсальную вики-платформу, предлагающую сервисы времени выполнения для приложений, созданных на ее ос…

CVSS
7.1
Высокий
EPSS
0.00
p31
Опубликовано
2025-01-01
Обновлено
2025-01-01
Описание

Платформа XWiki представляет собой универсальную вики-платформу, предлагающую сервисы времени выполнения для приложений, созданных на ее основе. В версиях XWiki Platform Legacy Old Core и XWiki Platform Old Core от 9.8-rc-1 до 16.4.6, 16.5.0-rc-1 до 16.10.4 и 17.0.0-rc-1 до 17.1.0 любой пользователь с правами редактирования может создать XClass со свойством списка базы данных, ссылающимся на свойство пароля. При добавлении объекта этого XClass отображается содержимое этого свойства пароля. На практике, при стандартной настройке прав, это означает, что любой пользователь с учетной записью в вики может получить доступ к хэшам паролей всех пользователей, а также к другим свойствам пароля (с хэшированным или обычным хранением), которые находятся на страницах, доступных для просмотра пользователем. Эта проблема исправлена в версиях 16.4.7, 16.10.5 и 17.2.0-rc-1 [1]. Источники: - [1] https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-r38m-cgpg-qj69 - [2] https://github.com/xwiki/xwiki-platform/commit/f2ca8649cba2ed3765061660bf5c7f801afa0b24 - [3] https://jira.xwiki.org/browse/XWIKI-22811

Теги · CWE
CWE-359
CAPEC-464
CAPEC-467
CAPEC-498
CAPEC-508
Затронутые продукты
Xwiki 9.8–16.4.7Xwiki 16.5.0–16.10.5Xwiki 17.0.0–17.1.0
Вектор CVSS
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
Хронология
2025-01-01
Опубликована
2025-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требования к атаке
AT: N
None
Требуемые привилегии
PR: L
Низкие (L)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Конфиденциальность уязвимой системы
VC: H
Высокое (H)
Целостность уязвимой системы
VI: N
Отсутствует (N)
Доступность уязвимой системы
VA: N
Отсутствует (N)
Конфиденциальность последующей системы
SC: N
Отсутствует (N)
Целостность последующей системы
SI: N
Отсутствует (N)
Доступность последующей системы
SA: N
Отсутствует (N)
Зрелость эксплойт-кода
E: X
Not Defined
Требование конфиденциальности
CR: X
Not Defined
Требование целостности
IR: X
Not Defined
Требование доступности
AR: X
Not Defined
Модифицированный вектор атаки
MAV: X
Not Defined
Модифицированная сложность атаки
MAC: X
Not Defined
Модифицированные требования к атаке
MAT: X
Not Defined
Модифицированные требуемые привилегии
MPR: X
Not Defined
Модифицированное взаимодействие с пользователем
MUI: X
Not Defined
Модифицированная конфиденциальность уязвимой системы
MVC: X
Not Defined
Модифицированная целостность уязвимой системы
MVI: X
Not Defined
Модифицированная доступность уязвимой системы
MVA: X
Not Defined
Модифицированная конфиденциальность последующей системы
MSC: X
Not Defined
Модифицированная целостность последующей системы
MSI: X
Not Defined
Модифицированная доступность последующей системы
MSA: X
Not Defined
s
S: X
X
au
AU: X
X
r
R: X
X
v
V: X
X
re
RE: X
X
u
U: X
X
Индикаторы эксплуатации
EPSS
0.004 · p31
Известна эксплуатация (KEV)
Нет
MITRE ATT&CK
Выводимые через CAPEC
└ через CAPEC-464 · CWE-359
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
ПродуктВендорСтатус
Отслеживается
Отслеживается
xwiki*Отслеживается
Источники данных
ANC
CVE
Связанные уязвимости