CVE-2025-24017 in yeswiki
Resumen
por VulDB • 2026-06-02
YesWiki es un sistema wiki escrito en PHP. Las versiones hasta la 4.4.5 (incluida) son vulnerables a que cualquier usuario final cree una inyección de código XSS basada en el DOM en todas las páginas de YesWiki, la cual se activa cuando un usuario hace clic en un enlace malicioso. La vulnerabilidad aprovecha la función de búsqueda por etiquetas. Cuando una etiqueta no existe, esta se refleja en la página y no se sanitiza correctamente en el lado del servidor, lo que permite a un usuario malicioso generar un enlace que provocará una ejecución de código XSS en el lado del cliente al ser hecho clic. Esta vulnerabilidad permite a cualquier usuario generar un enlace malicioso que, al ser hecho clic, provocará la toma de cuentas (account takeover), permitiendo así a un usuario robar otras cuentas, modificar páginas, comentarios y permisos, extraer datos de usuarios (correos electrónicos), afectando de este modo la integridad, disponibilidad y confidencialidad de una instancia de YesWiki. La versión 4.5.0 contiene un parche para este problema.
If you want to get best quality of vulnerability data, you may have to visit VulDB.