Positive Technologies сообщила об устранении критических уязвимостей в платформе XWiki

27 февраля, 2026, 11:11

Эксперты PT SWARM (Positive Technologies) выявили три уязвимости в опенсорсной платформе XWiki, используемой для создания вики-сайтов. Разработчик проекта выпустил обновление после уведомления об угрозах в рамках политики ответственного разглашения.

Одна из уязвимостей получила идентификатор PT-2025-30704 (CVE-2025-32429, BDU:2025-09129) и оценку 9,3 балла по шкале CVSS 4.0, что соответствует критическому уровню угрозы. Две другие уязвимости объединены под идентификатором PT-2025-31942 (CVE-2025-32430, BDU:2025-06941) с оценкой 6,5 балла.

Согласно данным мониторинга компании, потенциально уязвимыми могли быть более 21 тыс. узлов с установленной XWiki по всему миру. Наибольшая доля уязвимых систем зафиксирована в Германии (26%), США (19%), Франции (18%), Гонконге (6%) и России (5%).

Эксплуатация уязвимости PT-2025-30704 могла привести к отказу в обслуживании. Как пояснили в компании, при отправке специального HTTP-запроса от неаутентифицированного пользователя платформа очищала не все входные данные, что позволяло внедрить HQL-инъекцию. В результате множества запросов с командой «заснуть» происходила перегрузка XWiki.

Уязвимости PT-2025-31942 связаны с межсайтовым скриптингом (XSS). Для их эксплуатации требовалось, чтобы пользователь перешел по специальной ссылке. При атаке на администратора платформы злоумышленник мог получить доступ к конфиденциальным данным, выполнить произвольный код на сервере, заменить адреса страниц на фишинговые ресурсы и похитить учетные записи сотрудников.