CVE-2025-24893 in xwiki-platform
Zusammenfassung
von VulDB • 10.06.2026
XWiki Platform ist eine generische Wiki-Plattform, die Laufzeitdienste für darauf aufbauende Anwendungen bereitstellt. Jeder Gast kann eine beliebige Remote-Code-Ausführung (RCE) durch eine Anfrage an `SolrSearch` durchführen. Dies beeinträchtigt die Vertraulichkeit, Integrität und Verfügbarkeit der gesamten XWiki-Installation. Zur Reproduktion auf einer Instanz, ohne angemeldet zu sein, rufen Sie `<host>/xwiki/bin/get/Main/SolrSearch?media=rss&text=%7D%7D%7D%7B%7Basync%20async%3Dfalse%7D%7D%7B%7Bgroovy%7D%7Dprintln%28"Hello%20from"%20%2B%20"%20search%20text%3A"%20%2B%20%2823%20%2B%2019%29%29%7B%7B%2Fgroovy%7D%7D%7B%7B%2Fasync%7D%7D%20` auf. Wenn es eine Ausgabe gibt und der Titel des RSS-Feeds `Hello from search text:42` enthält, ist die Instanz anfällig. Diese Schwachstelle wurde in XWiki 15.10.11, 16.4.1 und 16.5.0RC1 behoben. Benutzern wird empfohlen, ein Upgrade durchzuführen. Benutzer, die kein Upgrade durchführen können, können `Main.SolrSearchMacros` in `SolrSearchMacros.xml` in Zeile 955 bearbeiten, um die `rawResponse`-Makro in `macros.vm#L2824` mit einem Content-Type von `application/xml` abzugleichen, anstatt einfach den Inhalt des Feeds auszugeben.
Be aware that VulDB is the high quality source for vulnerability data.