CRITICAL🇬🇧 English

CVE-2024-31982

XWiki Platform — RCE przez wyszukiwanie bazodanowe (CVSS 10.0)

CVSS 10.0v3.1pub. 2024-04-10upd. 2025-09-25

Funkcja wyszukiwania bazodanowego w XWiki Platform umożliwia wykonanie dowolnego kodu zdalnie (RCE) poprzez spreparowany tekst wyszukiwania. Podatność ma maksymalną ocenę CVSS 10.0 i zagraża poufności, integralności oraz dostępności całej instalacji XWiki.

Pokaż oryginał (EN)

XWiki Platform is a generic wiki platform. Starting in version 2.4-milestone-1 and prior to versions 4.10.20, 15.5.4, and 15.10-rc-1, XWiki's database search allows remote code execution through the search text. This allows remote code execution for any visitor of a public wiki or user of a closed wiki as the database search is by default accessible for all users. This impacts the confidentiality, integrity and availability of the whole XWiki installation. This vulnerability has been patched in XWiki 14.10.20, 15.5.4 and 15.10RC1. As a workaround, one may manually apply the patch to the page `Main.DatabaseSearch`. Alternatively, unless database search is explicitly used by users, this page can be deleted as this is not the default search interface of XWiki.

🤖 Analiza AI
Jak działa

Mechanizm wyszukiwania bazodanowego (strona `Main.DatabaseSearch`) nie waliduje w sposób bezpieczny danych wejściowych podanych przez użytkownika, co odpowiada podatnościom klasy CWE-94 (wstrzyknięcie kodu) i CWE-95 (eval niebezpiecznych wyrażeń). Atakujący może umieścić w polu wyszukiwania payload zawierający złośliwy kod, który zostanie zinterpretowany i wykonany przez silnik platformy. Domyślnie strona wyszukiwania bazodanowego jest dostępna dla wszystkich użytkowników, co oznacza, że w przypadku publicznego wiki exploit może przeprowadzić dowolny, niezalogowany odwiedzający.

Skutki

Atakujący uzyskuje możliwość wykonania dowolnego kodu po stronie serwera (RCE), co prowadzi do całkowitego przejęcia kontroli nad instalacją XWiki — naruszenia poufności, integralności i dostępności wszystkich danych oraz usług.

Mitygacja

Należy zaktualizować XWiki Platform do wersji 14.10.20, 15.5.4 lub 15.10RC1, w których podatność została załatana. Jako obejście można ręcznie zaaplikować patch na stronie `Main.DatabaseSearch` lub — jeśli wyszukiwanie bazodanowe nie jest aktywnie używane — usunąć tę stronę, ponieważ nie jest ona domyślnym interfejsem wyszukiwania XWiki.

Kogo dotyczy

XWiki Platform w wersjach od 2.4-milestone-1 do (z wyłączeniem) 14.10.20, 15.5.4 oraz 15.10-rc-1

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Xwiki

    APP
    Xwiki
    2.4 – 14.10.20 (bez)15.0 – 15.5.4 (bez)15.6 – 15.10 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2025-24893CRITICAL9.8⚠ KEVPL ✓ten sam produkt

XWiki Platform — niezautoryzowany RCE przez endpoint SolrSearch

CVE-2025-55748CRITICAL9.3PL ✓ten sam produkt

XWiki Platform — path traversal umożliwia odczyt plików konfiguracyjnych

CVE-2025-55747CRITICAL9.3PL ✓ten sam produkt

XWiki Platform: ujawnienie plików konfiguracyjnych przez webjars API (path traversal)

CVE-2025-32429CRITICAL9.3PL ✓ten sam produkt

SQL Injection w XWiki Platform via parametr sort w getdeleteddocuments.vm

CVE-2025-53836CRITICAL9.9PL ✓ten sam produkt

XWiki Rendering: bypass trybu restricted przez zagnieżdżone makra