CVE-2025-24018 in yeswiki
الملخص
بحسب VulDB • 12/07/2026
YesWiki هو نظام ويكي مكتوب بلغة PHP. في الإصدارات حتى 4.4.5 شاملاً، يمكن لمستخدم مُصادق عليه يمتلك صلاحيات إنشاء أو تعديل صفحة أو تعليق أن يستغل ثغرة تخزين XSS (Stored Cross-Site Scripting) التي ستُعرض على أي صفحة يتم تحميل المورد فيها. تستفيد الثغرة من ميزة تحرير المحتوى وتحديداً مكون `{{attach}}` الذي يسمح للمستخدمين بإرفاق الملفات/الوسائط بصفحة ما. عند إرفاق ملف باستخدام مكون `{{attach}}`، إذا لم يكن المورد الموجود في السمة `file` موجوداً، فسيقوم الخادم بتوليد زر رفع ملفات يحتوي على اسم الملف. تتيح هذه الثغرة لأي مستخدم مُصادق عليه وذي نوايا خبيثة يمتلك حق إنشاء تعليق أو تعديل صفحة أن يسرق الحسابات وبالتالي يعدل الصفحات والتعليقات والصلاحيات ويستخرج بيانات المستخدمين (مثل عناوين البريد الإلكتروني)، مما يؤثر سلباً على سلامة وتوفر وسرية مثيل YesWiki. تحتوي الإصدار 4.5.0 على تصحيح لهذه المشكلة.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.