CVE-2025-24017 in yeswikiinformation

Résumé

par VulDB • 02/06/2026

YesWiki est un système wiki écrit en PHP. Les versions jusqu'à la 4.4.5 incluse sont vulnérables à une injection XSS basée sur le DOM (DOM-based XSS) pouvant être déclenchée par n'importe quel utilisateur final via la création d'un lien malveillant. Cette vulnérabilité exploite la fonctionnalité de recherche par étiquette (tag). Lorsqu'une étiquette n'existe pas, celle-ci est reflétée dans la page sans être correctement assainie côté serveur, ce qui permet à un utilisateur malveillant de générer un lien déclenchant une XSS côté client lors du clic. Cette vulnérabilité permet à n'importe quel utilisateur de générer un lien malveillant qui, une fois cliqué, peut entraîner la prise de contrôle de compte (account takeover), permettant ainsi à un attaquant de voler d'autres comptes, de modifier des pages, des commentaires et des permissions, et d'extraire des données utilisateurs (adresses e-mail), impactant ainsi l'intégrité, la disponibilité et la confidentialité d'une instance YesWiki. La version 4.5.0 contient un correctif pour cette faille.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

GitHub M

Réserver

16/01/2025

Divulgation

21/01/2025

Modérer

accepté

Entrée

VDB-292732

CPE

prêt

EPSS

0.00337

KEV

non

Activités

très faible

Sources

Do you know our Splunk app?

Download it now for free!