CVE-2025-24017 in yeswikiinformación

Resumen

por VulDB • 2026-06-02

YesWiki es un sistema wiki escrito en PHP. Las versiones hasta la 4.4.5 (incluida) son vulnerables a que cualquier usuario final cree una inyección de código XSS basada en el DOM en todas las páginas de YesWiki, la cual se activa cuando un usuario hace clic en un enlace malicioso. La vulnerabilidad aprovecha la función de búsqueda por etiquetas. Cuando una etiqueta no existe, esta se refleja en la página y no se sanitiza correctamente en el lado del servidor, lo que permite a un usuario malicioso generar un enlace que provocará una ejecución de código XSS en el lado del cliente al ser hecho clic. Esta vulnerabilidad permite a cualquier usuario generar un enlace malicioso que, al ser hecho clic, provocará la toma de cuentas (account takeover), permitiendo así a un usuario robar otras cuentas, modificar páginas, comentarios y permisos, extraer datos de usuarios (correos electrónicos), afectando de este modo la integridad, disponibilidad y confidencialidad de una instancia de YesWiki. La versión 4.5.0 contiene un parche para este problema.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

GitHub M

Reservar

2025-01-16

Divulgación

2025-01-21

Moderación

aceptado

Artículo

VDB-292732

CPE

listo

EPSS

0.00337

KEV

no

Actividades

muy bajo

Fuentes

Interested in the pricing of exploits?

See the underground prices here!