CVE-2025-24017 in yeswikithông tin

Tóm tắt

Bởi VulDB • 09/06/2026

YesWiki là một hệ thống wiki được viết bằng PHP. Các phiên bản từ 4.4.5 trở về trước đều dễ bị tấn công bởi lỗi DOM-based XSS do người dùng cuối tạo ra trên tất cả các trang của YesWiki, lỗi này được kích hoạt khi người dùng nhấp vào một liên kết độc hại. Lỗ hổng này lợi dụng tính năng tìm kiếm theo thẻ (tag). Khi một thẻ không tồn tại, thẻ đó được phản hồi lại trên trang và không được kiểm tra kỹ lưỡng (sanitize) đúng cách phía máy chủ, cho phép một người dùng độc hại tạo ra một liên kết sẽ kích hoạt lỗi XSS phía máy khách khi được nhấp vào. Lỗ hổng này cho phép bất kỳ người dùng nào tạo ra một liên kết độc hại sẽ kích hoạt việc chiếm quyền kiểm soát tài khoản khi được nhấp vào, do đó cho phép người dùng đánh cắp các tài khoản khác, sửa đổi các trang, bình luận, quyền truy cập, trích xuất dữ liệu người dùng (email), từ đó ảnh hưởng đến tính toàn vẹn, khả năng sẵn sàng và tính bảo mật của một phiên bản YesWiki. Phiên bản 4.5.0 chứa bản vá cho vấn đề này.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

16/01/2025

Tiết lộ

21/01/2025

Kiểm duyệt

được chấp nhận

EPSS

0.00337

KEV

không

Các hoạt động

rất thấp

Nguồn

Might our Artificial Intelligence support you?

Check our Alexa App!