CVE-2025-24018 in yeswikiinformación

Resumen

por VulDB • 2026-07-12

YesWiki es un sistema wiki escrito en PHP. En las versiones anteriores e incluyendo la 4.4.5, es posible que un usuario autenticado con derechos para editar o crear una página o comentario desencadene una XSS almacenada (stored XSS) que se reflejará en cualquier página donde se cargue el recurso. La vulnerabilidad aprovecha la función de edición de contenido y más específicamente el componente `{{attach}}`, que permite a los usuarios adjuntar archivos/multimedia a una página. Cuando un archivo se adjunta utilizando el componente `{{attach}}`, si el recurso contenido en el atributo `file` no existe, entonces el servidor generará un botón de carga de archivos que contendrá el nombre del archivo. Esta vulnerabilidad permite que cualquier usuario autenticado malicioso con derecho a crear un comentario o editar una página pueda robar cuentas y, por lo tanto, modificar páginas, comentarios, permisos, extraer datos de usuarios (correos electrónicos), afectando así la integridad, disponibilidad y confidencialidad de una instancia de YesWiki. La versión 4.5.0 contiene un parche para este problema.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

GitHub M

Reservar

2025-01-16

Divulgación

2025-01-21

Moderación

aceptado

Artículo

VDB-292735

CPE

listo

EPSS

0.00392

KEV

no

Actividades

muy bajo

Fuentes

Do you know our Splunk app?

Download it now for free!