CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2025-24893

XWiki Platform — niezautoryzowany RCE przez endpoint SolrSearch

CVSS 9.8v3.1pub. 2025-02-20upd. 2025-10-31

Każdy niezalogowany użytkownik może wykonać dowolny kod na serwerze XWiki poprzez spreparowane żądanie do endpointu `SolrSearch`. Podatność uzyskała ocenę CVSS 9.8 (CRITICAL) i jest aktywnie wykorzystywana przez atakujących.

Pokaż oryginał (EN)

XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. Any guest can perform arbitrary remote code execution through a request to `SolrSearch`. This impacts the confidentiality, integrity and availability of the whole XWiki installation. To reproduce on an instance, without being logged in, go to `<host>/xwiki/bin/get/Main/SolrSearch?media=rss&text=%7D%7D%7D%7B%7Basync%20async%3Dfalse%7D%7D%7B%7Bgroovy%7D%7Dprintln%28"Hello%20from"%20%2B%20"%20search%20text%3A"%20%2B%20%2823%20%2B%2019%29%29%7B%7B%2Fgroovy%7D%7D%7B%7B%2Fasync%7D%7D%20`. If there is an output, and the title of the RSS feed contains `Hello from search text:42`, then the instance is vulnerable. This vulnerability has been patched in XWiki 15.10.11, 16.4.1 and 16.5.0RC1. Users are advised to upgrade. Users unable to upgrade may edit `Main.SolrSearchMacros` in `SolrSearchMacros.xml` on line 955 to match the `rawResponse` macro in `macros.vm#L2824` with a content type of `application/xml`, instead of simply outputting the content of the feed.

🤖 Analiza AI
Jak działa

Atakujący wysyła żądanie HTTP GET do ścieżki `/xwiki/bin/get/Main/SolrSearch` z parametrem `text` zawierającym złośliwy payload w formacie szablonów XWiki (np. blok `{{groovy}}`). Endpoint `SolrSearch` w podatnych wersjach nie oczyszcza odpowiednio danych wejściowych przed ich przetworzeniem, co umożliwia wstrzyknięcie i ewaluację kodu Groovy (CWE-94, CWE-95) po stronie serwera. Atak nie wymaga uwierzytelnienia ani żadnej interakcji ze strony ofiary — wystarczy wysłanie pojedynczego żądania sieciowego.

Skutki

Atakujący uzyskuje możliwość pełnego wykonania dowolnego kodu na serwerze (RCE), co zagraża poufności, integralności i dostępności całej instalacji XWiki, włącznie z dostępem do danych wszystkich użytkowników oraz infrastruktury serwerowej.

Mitygacja

Należy zaktualizować XWiki do wersji 15.10.11, 16.4.1 lub 16.5.0RC1. Użytkownicy, którzy nie mogą przeprowadzić aktualizacji, powinni ręcznie edytować plik `Main.SolrSearchMacros` (`SolrSearchMacros.xml`, linia 955) — makro `rawResponse` należy dostosować tak, aby ustawiało typ zawartości `application/xml` zamiast bezpośrednio wypisywać zawartość kanału RSS, zgodnie ze wzorcem z pliku `macros.vm` (linia 2824).

Kogo dotyczy

XWiki Platform we wszystkich wersjach poprzedzających 15.10.11, 16.4.1 oraz 16.5.0RC1

Uwagi

Podatność jest śledzona pod numerem XWIKI-22149 w systemie Jira projektu XWiki. Producent opublikował szczegółowe advisory pod identyfikatorem GHSA-rr6p-3pfg-562j. Podatność figuruje w katalogu CISA KEV jako aktywnie exploitowana.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Xwiki

    APP
    Xwiki
    5.35.4 – 15.10.11 (bez)16.0.0 – 16.4.1 (bez)

CISA KEV — szczegółyi

Dostawcai
XWiki
Produkti
Platform
Data dodania do KEVi
30 października 2025
Termin remediation (USA)i
20 listopada 2025(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami dostawcy, postępuj zgodnie z obowiązującymi wytycznymi BOD 22-01 dla usług w chmurze lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

XWiki Platform zawiera lukę eval injection, która może pozwolić każdemu gościowi na wykonanie dowolnego zdalnego kodu poprzez żądanie do SolrSearch.

tłumaczenie AI
Pokaż oryginał (EN)

XWiki Platform contains an eval injection vulnerability that could allow any guest to perform arbitrary remote code execution through a request to SolrSearch.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 20 listopada 2025
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2025-55747CRITICAL9.3PL ✓ten sam produkt

XWiki Platform: ujawnienie plików konfiguracyjnych przez webjars API (path traversal)

CVE-2025-55748CRITICAL9.3PL ✓ten sam produkt

XWiki Platform — path traversal umożliwia odczyt plików konfiguracyjnych

CVE-2025-32429CRITICAL9.3PL ✓ten sam produkt

SQL Injection w XWiki Platform via parametr sort w getdeleteddocuments.vm

CVE-2025-53836CRITICAL9.9PL ✓ten sam produkt

XWiki Rendering: bypass trybu restricted przez zagnieżdżone makra

CVE-2025-53835CRITICAL9.0PL ✓ten sam produkt

XWiki Rendering: XSS przez składnię xdom+xml/current w XHTML

CVE-2025-24893 — XWiki Platform — niezautoryzowany RCE przez endpoint SolrSearch — CRITICAL 9.8 | CVEbaza.pl