CRITICAL🇬🇧 English

CVE-2026-52778

RCE i ReDoS w YesWiki — niebezpieczne eval() w kalkulatorze pól formularza

CVSS 9.8v3.1pub. 2026-06-08upd. 2026-06-09

YesWiki w wersjach przed 4.6.6 zawiera krytyczną podatność w komponencie CalcField.php, umożliwiającą zdalne wykonanie kodu PHP (RCE) oraz atak odmowy usługi przez ReDoS. Podatność jest szczególnie groźna ze względu na brak uwierzytelnienia wymaganego do jej wykorzystania.

Pokaż oryginał (EN)

YesWiki is a wiki system written in PHP. Prior to version 4.6.6, an unsafe execution vulnerability exists in the Bazar form field calculator (CalcField.php) of YesWiki. The application attempts to sanitize user-defined mathematical formulas using a complex recursive regular expression before passing them to the PHP eval() function. This implementation is inherently flawed: it is vulnerable to Regular Expression Denial of Service (ReDoS / Stack Overflow) which can crash the server, and it creates a high-risk architecture where any logic bypass directly results in arbitrary PHP code execution. Version 4.6.6 patches the issue.

🤖 Analiza AI
Jak działa

Aplikacja próbuje oczyszczać zdefiniowane przez użytkownika formuły matematyczne za pomocą złożonego rekurencyjnego wyrażenia regularnego, a następnie przekazuje je do funkcji PHP eval(). Zastosowane wyrażenie regularne jest podatne na ReDoS (Regular Expression Denial of Service), co może prowadzić do przepełnienia stosu i awarii serwera. Jednocześnie architektura oparta na eval() oznacza, że każde ominięcie logiki sanityzacji skutkuje bezpośrednim wykonaniem dowolnego kodu PHP przez atakującego.

Skutki

Atakujący bez uwierzytelnienia może zdalnie wykonać dowolny kod PHP na serwerze (RCE) lub doprowadzić do jego niedostępności poprzez atak ReDoS powodujący awarię procesu.

Mitygacja

Należy zaktualizować YesWiki do wersji 4.6.6, która zawiera patch eliminujący podatność. Patch dostępny jest w repozytorium GitHub projektu (commit dd2bd8fb099de0d21504bda8a810693b3fcb8e52) oraz jako oficjalne wydanie v4.6.6.

Kogo dotyczy

YesWiki we wszystkich wersjach przed 4.6.6

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEDoS
CWE
Referencje