XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. In versions 9.4-rc-1 through 16.10.5 and 17.0.0-rc-1 through 17.2.2, it's possible for anyone to inject SQL using the parameter sort of the getdeleteddocuments.vm. It's injected as is as an ORDER BY value. This is fixed in versions 16.10.6 and 17.3.0-rc-1.
CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XXwiki
APPXwiki9.4 – 16.10.6 (bez)17.0.0 – 17.2.2
🔵
CHECK WITH VENDOR
No clear patch data available. Check vendor references.
Tags
SQLi
CWE
Related vulnerabilities
CVE-2025-24893CRITICAL9.8⚠ KEVPL ✓ten sam produkt
XWiki Platform — niezautoryzowany RCE przez endpoint SolrSearch
CVE-2025-55748CRITICAL9.3PL ✓ten sam produkt
XWiki Platform — path traversal umożliwia odczyt plików konfiguracyjnych
CVE-2025-55747CRITICAL9.3PL ✓ten sam produkt
XWiki Platform: ujawnienie plików konfiguracyjnych przez webjars API (path traversal)
CVE-2025-53836CRITICAL9.9PL ✓ten sam produkt
XWiki Rendering: bypass trybu restricted przez zagnieżdżone makra
CVE-2025-53835CRITICAL9.0PL ✓ten sam produkt
XWiki Rendering: XSS przez składnię xdom+xml/current w XHTML