CRITICAL🇬🇧 English

CVE-2025-65091

SQL Injection w XWiki Full Calendar Macro — dostęp bez uwierzytelnienia

CVSS 10.0v3.1pub. 2026-01-10upd. 2026-01-29

Wtyczka XWiki Full Calendar Macro przed wersją 2.4.5 zawiera krytyczną podatność SQL injection w stronie Calendar.JSONService, dostępną bez uwierzytelnienia. Atakujący może uzyskać dostęp do danych bazy danych lub przeprowadzić atak DoS.

Pokaż oryginał (EN)

XWiki Full Calendar Macro displays objects from the wiki on the calendar. Prior to version 2.4.5, users with the right to view the Calendar.JSONService page (including guest users) can exploit a SQL injection vulnerability by accessing database info or starting a DoS attack. This issue has been patched in version 2.4.5.

🤖 Analiza AI
Jak działa

Podatność typu SQL injection (CWE-89) polega na możliwości wstrzyknięcia złośliwego kodu SQL poprzez żądanie do strony Calendar.JSONService. Strona ta jest dostępna dla wszystkich użytkowników posiadających prawo jej przeglądania, w tym dla gości (niezalogowanych). Atakujący może spreparować odpowiednie żądanie HTTP, które spowoduje wykonanie arbitralnych zapytań SQL w kontekście bazy danych używanej przez XWiki.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do informacji przechowywanych w bazie danych instancji XWiki lub doprowadzić do niedostępności usługi (atak DoS). Ze względu na zakres CVSS obejmujący poufność, integralność i dostępność na poziomie wysokim z wpływem wykraczającym poza komponent (Scope: Changed), skutki mogą objąć całą instancję wiki.

Mitygacja

Należy zaktualizować XWiki Full Calendar Macro do wersji 2.4.5 lub nowszej, w której podatność została załatana. Patch dostępny jest w repozytorium projektu (commit 5fdcf06a05015786492fda69b4d9dea5460cc994). Jako tymczasowe obejście można rozważyć ograniczenie dostępu do strony Calendar.JSONService dla nieuwierzytelnionych i nieuprzywilejowanych użytkowników.

Kogo dotyczy

XWiki Full Calendar Macro we wszystkich wersjach przed 2.4.5

Uwagi

Podatność dotyka również gości (niezalogowanych użytkowników), co znacznie obniża próg wejścia dla atakującego i uzasadnia maksymalny wynik CVSS 10.0.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Xwiki Full Calendar Macro

    APP
    Xwiki
    < 2.4.5
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2025-65090MEDIUM5.3ten sam produkt

XWiki Full Calendar Macro displays objects from the wiki on the calendar. Prior to version 2.4.6, users with t...

CVE-2025-24893CRITICAL9.8⚠ KEVPL ✓ten sam vendor

XWiki Platform — niezautoryzowany RCE przez endpoint SolrSearch

CVE-2025-55728CRITICAL10.0PL ✓ten sam vendor

RCE przez XWiki syntax injection w parametrze classes makra Panel

CVE-2025-55727CRITICAL10.0PL ✓ten sam vendor

XWiki Pro Macros: RCE przez brak escapowania parametru width w makro column

CVE-2025-55747CRITICAL9.3PL ✓ten sam vendor

XWiki Platform: ujawnienie plików konfiguracyjnych przez webjars API (path traversal)

CVE-2025-65091 — SQL Injection w XWiki Full Calendar Macro — dostęp bez uwierzytelnienia — CRITICAL 10.0 | CVEbaza.pl