Katalog CVE

CVE-2025-66024

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Aplikacja blogowa XWiki umożliwia użytkownikom platformy XWiki tworzenie i zarządzanie postami blogowymi. Wersje przed 9.15.7 są podatne na przechowywane ataki Cross-Site Scripting (XSS) poprzez tytuł posta, ponieważ tytuł jest wstrzykiwany bezpośrednio do tagu HTML <title> bez odpowiedniego escapingu.

Ocena ryzyka

Atakujący z uprawnieniami do tworzenia lub edytowania postów blogowych może wstrzyknąć złośliwy kod JavaScript, który zostanie wykonany w przeglądarkach użytkowników przeglądających post, co może prowadzić do przejęcia sesji lub eskalacji uprawnień.

Rekomendacja

Zaleca się aktualizację aplikacji blogowej do wersji 9.15.7, w której wprowadzono poprawki eliminujące tę podatność. Brak znanych obejść dla tej luki.

Oryginalny opis (angielski, źródło NVD)

The XWiki blog application allows users of the XWiki platform to create and manage blog posts. Versions prior to 9.15.7 are vulnerable to Stored Cross-Site Scripting (XSS) via the Blog Post Title. The vulnerability arises because the post title is injected directly into the HTML <title> tag without proper escaping. An attacker with permissions to create or edit blog posts can inject malicious JavaScript into the title field. This script will execute in the browser of any user (including administrators) who views the blog post. This leads to potential session hijacking or privilege escalation. The vulnerability has been patched in the blog application version 9.15.7 by adding missing escaping. No known workarounds are available.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS