CVE-2025-24893 in xwiki-platforminformazioni

Riassunto

di VulDB • 18/06/2026

XWiki Platform è una piattaforma wiki generica che offre servizi di runtime per applicazioni costruite sopra di essa. Qualsiasi utente ospite può eseguire codice arbitrario in modalità remota tramite una richiesta a `SolrSearch`. Ciò impatta la riservatezza, l'integrità e la disponibilità dell'intera installazione di XWiki. Per riprodurre il problema su un'istanza, senza effettuare il login, accedere a `<host>/xwiki/bin/get/Main/SolrSearch?media=rss&text=%7D%7D%7D%7B%7Basync%20async%3Dfalse%7D%7D%7B%7Bgroovy%7D%7Dprintln%28"Hello%20from"%20%2B%20"%20search%20text%3A"%20%2B%20%2823%20%2B%2019%29%29%7B%7B%2Fgroovy%7D%7D%7B%7B%2Fasync%7D%7D%20`. Se viene restituito un output e il titolo del feed RSS contiene `Hello from search text:42`, allora l'istanza è vulnerabile. Questa vulnerabilità è stata risolta in XWiki 15.10.11, 16.4.1 e 16.5.0RC1. Si consiglia agli utenti di effettuare l'aggiornamento. Gli utenti che non possono effettuare l'aggiornamento possono modificare `Main.SolrSearchMacros` in `SolrSearchMacros.xml` alla riga 955 per far corrispondere la macro `rawResponse` in `macros.vm#L2824` con un tipo di contenuto `application/xml`, invece di limitarsi a restituire il contenuto del feed.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

GitHub M

Prenotare

27/01/2025

Divulgazione

20/02/2025

Moderazione

accettato

CPE

pronto

Sfruttamento

Scaricare

EPSS

0.99898

KEV

si

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!