PT-2025-30704 · Xwiki · Xwiki Platform
Aleksey Solovev
·
Publicado
2025-04-10
·
Atualizado
2026-04-07
·
CVE-2025-32429
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do Software Vulnerável e Versões Afetadas
Versões do XWiki Platform de 9.4-rc-1 até 16.10.5 e de 17.0.0-rc-1 até 17.2.2
Descrição
O XWiki Platform é uma plataforma wiki genérica. Existe uma vulnerabilidade de injeção de SQL no template
getdeleteddocuments.vm devido à sanitização insuficiente do parâmetro sort ao processar consultas SQL. Isso permite que um atacante remoto execute comandos SQL arbitrários via o parâmetro sort, que é usado diretamente como um valor ORDER BY. Estima-se que aproximadamente 6.900 serviços sejam afetados em todo o mundo.Recomendações
Versões do XWiki Platform anteriores à 16.10.6 são vulneráveis.
Versões do XWiki Platform anteriores à 17.3.0-rc-1 são vulneráveis.
Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Xwiki Platform