CRITICAL🇬🇧 English

CVE-2025-32429

SQL Injection w XWiki Platform via parametr sort w getdeleteddocuments.vm

CVSS 9.3v4.0pub. 2025-07-24upd. 2025-09-03

W platformie XWiki istnieje krytyczna podatność SQL injection (CWE-89) umożliwiająca nieuwierzytelnionemu atakującemu wstrzyknięcie dowolnego kodu SQL poprzez parametr sort szablonu getdeleteddocuments.vm. Ze względu na brak wymaganego uwierzytelnienia i sieciowy wektor ataku podatność stanowi poważne zagrożenie dla wszystkich instancji XWiki w podatnych wersjach.

Pokaż oryginał (EN)

XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. In versions 9.4-rc-1 through 16.10.5 and 17.0.0-rc-1 through 17.2.2, it's possible for anyone to inject SQL using the parameter sort of the getdeleteddocuments.vm. It's injected as is as an ORDER BY value. This is fixed in versions 16.10.6 and 17.3.0-rc-1.

🤖 Analiza AI
Jak działa

Parametr sort przekazywany do szablonu getdeleteddocuments.vm jest bez walidacji ani sanityzacji wstawiany bezpośrednio jako wartość klauzuli ORDER BY w zapytaniu SQL. Atakujący może wysłać spreparowane żądanie HTTP z odpowiednio zmodyfikowaną wartością parametru sort, wstrzykując tym samym arbitralny kod SQL. Atak nie wymaga żadnego uwierzytelnienia ani interakcji ze strony użytkownika.

Skutki

Atakujący może odczytać, zmodyfikować lub usunąć dane przechowywane w bazie danych XWiki, w tym potencjalnie uzyskać dostęp do poufnych informacji, takich jak dane użytkowników, tokeny sesji czy zawartość wiki.

Mitygacja

Należy zaktualizować XWiki Platform do wersji 16.10.6 lub 17.3.0-rc-1 (i nowszych), w których podatność została naprawiona. Poprawki dostępne są w repozytorium projektu na GitHub (commity dfd0744e9c18d24ac66a0d261dc6cafd1c209101 oraz f502b5d5fd36284a50890ad26d168b7d8dc80bd3).

Kogo dotyczy

XWiki Platform w wersjach od 9.4-rc-1 do 16.10.5 oraz od 17.0.0-rc-1 do 17.2.2

Uwagi

Podatność została zgłoszona i śledzona jako XWIKI-23093 w systemie Jira projektu XWiki oraz opublikowana jako advisory GHSA-vr59-gm53-v7cq na GitHub Security Advisories.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Xwiki

    APP
    Xwiki
    9.4 – 16.10.6 (bez)17.0.0 – 17.2.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2025-24893CRITICAL9.8⚠ KEVPL ✓ten sam produkt

XWiki Platform — niezautoryzowany RCE przez endpoint SolrSearch

CVE-2025-55748CRITICAL9.3PL ✓ten sam produkt

XWiki Platform — path traversal umożliwia odczyt plików konfiguracyjnych

CVE-2025-55747CRITICAL9.3PL ✓ten sam produkt

XWiki Platform: ujawnienie plików konfiguracyjnych przez webjars API (path traversal)

CVE-2025-53836CRITICAL9.9PL ✓ten sam produkt

XWiki Rendering: bypass trybu restricted przez zagnieżdżone makra

CVE-2025-53835CRITICAL9.0PL ✓ten sam produkt

XWiki Rendering: XSS przez składnię xdom+xml/current w XHTML