دو آسیبپذیری CVE-2025-55748 و CVE-2025-55747 با شدت بحرانی (نمره 9.3 از 10) در سکوی متنباز XWiki شناسایی شدهاند که امکان دسترسی غیرمجاز به فایلهای حساس و اختلال در عملکرد سامانه را برای مهاجمان فراهم میکنند. هر دو نقص از طریق ارسال درخواستهای مخرب به نقاط پایانی خاص قابل بهرهبرداری هستند. مهاجم میتواند از طریق شبکه عمومی (AV:N)، بدون احراز هویت (PR:N)، بدون تعامل با کاربر (UI:N) و با پیچیدگی پایین (AC:L) به فایلهای پیکربندی دسترسی یافته (VC:H)، دادهها را تغییر داده یا حذف کند (VI:H) و موجب اختلال در سامانه شود (VA:H). این حملات در محدوده داخلی XWiki رخ میدهند (SC:N / SI:N / SA:N) و نیازمند هیچ شرایط خاصی نیستند (AT:N).
آسیبپذیری CVE-2025-55748
این آسیبپذیری از نوع Relative Path Traversal بوده و از طریق نقاط پایانی jsx و sx در XWiki قابل بهرهبرداری است. مهاجم میتواند با استفاده از مسیرهای نسبی، به فایلهای پیکربندی و سایر اطلاعات حساس دسترسی یابد.
آسیبپذیری CVE-2025-55747
این آسیبپذیری به مهاجم اجازه میدهد از طریق API مربوط به WebJars به فایلهای پیکربندی دسترسی پیدا کند. این نقص امنیتی مشابه آسیب اول است، اما از مسیر متفاوتی بهرهبرداری میشود.
محصولات آسیبپذیر
- نسخههای XWiki که دارای ماژولهای jsx و sx فعال هستند.
- نسخههایی از XWiki که WebJars API را بدون محدودسازی دسترسی ارائه میدهند.
توصیههای امنیتی
- نرمافزار را به آخرین نسخه بهروزرسانی کنید.
- مسیرهای دسترسی آسیبپذیر را بررسی و محدود کنید.
- دسترسی به فایلهای پیکربندی را محدود کنید.
- احراز هویت را تقویت کنید.
- لاگبرداری و نظارت فعال داشته باشید.
- XWiki را در محیط ایزوله اجرا کنید.
- تست امنیتی دورهای انجام دهید.
منابع خبر:
- 11