CVE-2025-32973 in xwiki-platform
要約
〜によって VulDB • 2026年06月21日
XWikiは汎用のウィキプラットフォームです。バージョン15.9-rc-1から15.10.12未満、および16.0.0-rc-1から16.4.3未満、さらに16.5.0-rc-1から16.8.0-rc-1未満のバージョンにおいて、プログラミング権限を持つユーザーが、XWiki.ComponentClassを含み、かつ最後に編集を行ったユーザーにプログラミング権限がない文書をXWiki上で編集する場合、この操作によってそのオブジェクトに対してプログラミング権限が付与されることについての警告が表示されません。このような悪意のあるオブジェクトを作成した攻撃者は、これを利用してウィキ上のプログラミング権限を奪取することができます。これを行うには、攻撃者が少なくとも1つのページにこのオブジェクトを設置するための編集権限を持ち、さらに管理者ユーザーにその文書の編集を行わせる必要があります。本問題はバージョン15.10.12、16.4.3、および16.8.0-rc-1で修正されています。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.