Zpětná vazba k reportu

Autentizovanému vzdálenému útočníkovi je kvůli nedostatečné sanitizaci vstupů v API funkci XWiki#searchDocuments umožněno spustit libovolný SQL dotaz v databázi Oracle, například prostřednictvím funkcí jako DBMS_XMLGEN nebo DBMS_XMLQUERY [1].

Zranitelnost se nachází v produktu XWiki ve verzích (>=17.0.0-rc1 AND <=17.2.2) OR (<=16.10.5).

CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Více informací:

• CVE-2025-54385 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-20: Improper Input Validation at cwe.mitre.org

Zranitelnost byla veřejně oznámena 26. 7. 2025.

Neautentizovanému vzdálenému útočníkovi s oprávněním pro čtení stránky je kvůli chybě v XML exportu stránky (vyvolatelný připojením ?xpage=xml k URL) umožněno získat citlivé údaje, jako jsou hesla nebo e-maily, pokud jsou uloženy v jiných vlastnostech než pod názvem „password“ nebo „email“ [2].

Zranitelnost se nachází v produktu XWiki ve verzích (>=1.1 AND <16.4.7) OR (>=16.5.0-rc-1 AND <16.10.5) OR (>=17.0.0-rc-1 AND <17.2.0-rc-1).

CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

Více informací:

• CVE-2025-54125 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-359: Exposure of Private Personal Information to an Unauthorized Actor at cwe.mitre.org

Zranitelnost byla veřejně oznámena 5. 8. 2025.

Autentizovanému vzdálenému útočníkovi je kvůli možnosti vytvořit XClass s databázovou vlastností odkazující na heslovou položku umožněno zobrazit její obsah, což mu při standardním nastavení práv umožňuje získat hashe hesel ostatních uživatelů a další citlivé údaje ze stránek, ke kterým má přístup [3].

Zranitelnost se nachází v produktu XWiki ve verzích (>=9.8-rc-1 AND <16.4.7) OR (>=16.5.0-rc-1 AND <16.10.5) OR (>=17.0.0-rc-1 AND <17.2.0-rc-1).

CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

Více informací:

• CVE-2025-54124 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-359: Exposure of Private Personal Information to an Unauthorized Actor at cwe.mitre.org

Zranitelnost byla veřejně oznámena 5. 8. 2025.

Neautentizovanému vzdálenému útočníkovi je kvůli zranitelnosti typu reflected XSS ve dvou šablonách XWiki umožněno spustit škodlivý JavaScript kód v kontextu relace oběti prostřednictvím návštěvy útočníkem kontrolované URL, a tím provádět libovolné akce s oprávněními oběti [4].

Zranitelnost se nachází v produktu XWiki ve verzích (>=4.2-milestone-3 AND <16.4.8) OR (>=16.5.0-rc-1 AND <16.10.6) OR (>=17.0.0-rc-1 AND <17.3.0-rc-1).

CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:H/SI:H/SA:H

Více informací:

• CVE-2025-32430 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org

Zranitelnost byla veřejně oznámena 5. 8. 2025.