Zpětná vazba k reportu

Neautentizovanému vzdálenému útočníkovi je skrze WebJars API využitím chybného zpracování znaku „/“ v určitých URL umožněno získat přístup ke konfiguračním souborům [1].

Zranitelnost se nachází v produktu XWiki ve verzích >=6.1-milestone-2 AND <16.10.7.

CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Více informací:

• CVE-2025-55747 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-23: Relative Path Traversal at cwe.mitre.org

Zranitelnost byla veřejně oznámena 3. 9. 2025.

Neautentizovanému vzdálenému útočníkovi je skrze endpointy JSX/SSX použitím některých URL umožněno získat přístup ke konfiguračním souborům [2].

Zranitelnost se nachází v produktu XWiki ve verzích >=4.2-milestone-2 AND <16.10.7.

CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Více informací:

• CVE-2025-55748 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-23: Relative Path Traversal at cwe.mitre.org

Zranitelnost byla veřejně oznámena 3. 9. 2025.

Autentizovanému vzdálenému útočníkovi je kvůli uložení šifrovacího klíče do stejného adresáře jako stav PDF exportu (job status) obsahující uživatelské cookies s přihlašovacími údaji umožněno tyto údaje neoprávněně dešifrovat [3][4].

Zranitelnost se nachází v produktu XWiki ve verzích (>=14.4.2 AND <16.4.8) OR (>=16.5.0-rc-1 AND <16.10.7) OR (>=17.0.0-rc-1 AND <17.4.0-rc-1).

CVSS: CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:N/A:N

Více informací:

• CVE-2025-58049 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-212: Improper Removal of Sensitive Information Before Storage or Transfer at cwe.mitre.org

Zranitelnost byla veřejně oznámena 28. 8. 2025.