XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. The rollback action is missing a right protection, a user can rollback to a previous version of the page to gain rights they don't have anymore. The problem has been patched in XWiki 14.10.17, 15.5.3 and 15.8-rc-1 by ensuring that the rights are checked before performing the rollback.
oryginał ENCVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:HXwiki
APPXwiki< 14.10.1715.0 – 15.5.3 (bez)15.6 – 15.8 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje
Powiązane podatności
CVE-2025-24893CRITICAL9.8⚠ KEVPL ✓ten sam produkt
XWiki Platform — niezautoryzowany RCE przez endpoint SolrSearch
CVE-2025-55748CRITICAL9.3PL ✓ten sam produkt
XWiki Platform — path traversal umożliwia odczyt plików konfiguracyjnych
CVE-2025-55747CRITICAL9.3PL ✓ten sam produkt
XWiki Platform: ujawnienie plików konfiguracyjnych przez webjars API (path traversal)
CVE-2025-32429CRITICAL9.3PL ✓ten sam produkt
SQL Injection w XWiki Platform via parametr sort w getdeleteddocuments.vm
CVE-2025-53836CRITICAL9.9PL ✓ten sam produkt
XWiki Rendering: bypass trybu restricted przez zagnieżdżone makra