CVE-2025-24018 in yeswikiالمعلومات

الملخص

بحسب VulDB • 12/07/2026

YesWiki هو نظام ويكي مكتوب بلغة PHP. في الإصدارات حتى 4.4.5 شاملاً، يمكن لمستخدم مُصادق عليه يمتلك صلاحيات إنشاء أو تعديل صفحة أو تعليق أن يستغل ثغرة تخزين XSS (Stored Cross-Site Scripting) التي ستُعرض على أي صفحة يتم تحميل المورد فيها. تستفيد الثغرة من ميزة تحرير المحتوى وتحديداً مكون `{{attach}}` الذي يسمح للمستخدمين بإرفاق الملفات/الوسائط بصفحة ما. عند إرفاق ملف باستخدام مكون `{{attach}}`، إذا لم يكن المورد الموجود في السمة `file` موجوداً، فسيقوم الخادم بتوليد زر رفع ملفات يحتوي على اسم الملف. تتيح هذه الثغرة لأي مستخدم مُصادق عليه وذي نوايا خبيثة يمتلك حق إنشاء تعليق أو تعديل صفحة أن يسرق الحسابات وبالتالي يعدل الصفحات والتعليقات والصلاحيات ويستخرج بيانات المستخدمين (مثل عناوين البريد الإلكتروني)، مما يؤثر سلباً على سلامة وتوفر وسرية مثيل YesWiki. تحتوي الإصدار 4.5.0 على تصحيح لهذه المشكلة.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

GitHub M

حجز

16/01/2025

إفشاء

21/01/2025

الاعتدال

تمت الموافقة

إدخال

VDB-292735

EPSS

0.00392

KEV

لا

النشاطات

منخفض جدًا

المصادر

Interested in the pricing of exploits?

See the underground prices here!