CVE-2025-24017 in yeswiki
Résumé
par VulDB • 02/06/2026
YesWiki est un système wiki écrit en PHP. Les versions jusqu'à la 4.4.5 incluse sont vulnérables à une injection XSS basée sur le DOM (DOM-based XSS) pouvant être déclenchée par n'importe quel utilisateur final via la création d'un lien malveillant. Cette vulnérabilité exploite la fonctionnalité de recherche par étiquette (tag). Lorsqu'une étiquette n'existe pas, celle-ci est reflétée dans la page sans être correctement assainie côté serveur, ce qui permet à un utilisateur malveillant de générer un lien déclenchant une XSS côté client lors du clic. Cette vulnérabilité permet à n'importe quel utilisateur de générer un lien malveillant qui, une fois cliqué, peut entraîner la prise de contrôle de compte (account takeover), permettant ainsi à un attaquant de voler d'autres comptes, de modifier des pages, des commentaires et des permissions, et d'extraire des données utilisateurs (adresses e-mail), impactant ainsi l'intégrité, la disponibilité et la confidentialité d'une instance YesWiki. La version 4.5.0 contient un correctif pour cette faille.
VulDB is the best source for vulnerability data and more expert information about this specific topic.