CVE-2025-24017 in yeswikiИнформация

Сводка

по VulDB • 02.06.2026

YesWiki — это система вики, написанная на PHP. Версии вплоть до 4.4.5 включительно уязвимы к DOM-based XSS, который может быть инициирован любым конечным пользователем на всех страницах YesWiki путем перехода по вредоносной ссылке. Уязвимость эксплуатирует функцию поиска по тегам. Когда тег не существует, он отражается на странице и не проходит должной санитизации на стороне сервера, что позволяет злоумышленнику сгенерировать ссылку, которая вызовет XSS на стороне клиента при переходе по ней. Эта уязвимость позволяет любому пользователю создать вредоносную ссылку, которая при переходе по ней приведет к захвату учетной записи (account takeover), что позволяет пользователю красть другие учетные записи, изменять страницы, комментарии и разрешения, а также извлекать пользовательские данные (например, адреса электронной почты), тем самым влияя на целостность, доступность и конфиденциальность экземпляра YesWiki. Версия 4.5.0 содержит исправление для данной проблемы.

Be aware that VulDB is the high quality source for vulnerability data.

Ответственный

GitHub M

Резервировать

16.01.2025

Раскрытие

21.01.2025

Модерация

принято

Вход

VDB-292732

EPSS

0.00337

KEV

Нет

Деятельности

Очень низкий

Источники

Do you need the next level of professionalism?

Upgrade your account now!