CVE-2025-32429
XWiki Platform vulnerable to SQL injection through getdeleteddocuments.vm template sort parameter
Em resumo
A página de documentos deletados do XWiki permite que atacantes injetem comandos SQL maliciosos através do parâmetro sort, potencialmente expostos ou manipulando informações sensíveis do banco de dados sem autenticação.
Detalhe técnico
Vulnerabilidade de injeção SQL no template getdeleteddocuments.vm onde o parâmetro sort é inserido diretamente em cláusulas ORDER BY sem validação. Afeta usuários não autenticados; exploração requer acesso de rede à instância XWiki. O impacto inclui acesso não autorizado, modificação ou exclusão de dados do banco de dados subjacente.
Resumo gerado e traduzido por IA a partir da descrição oficial.
XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. In versions 9.4-rc-1 through 16.10.5 and 17.0.0-rc-1 through 17.2.2, it's possible for anyone to inject SQL using the parameter sort of the getdeleteddocuments.vm. It's injected as is as an ORDER BY value. This is fixed in versions 16.10.6 and 17.3.0-rc-1.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Produtos afetados
xwiki · xwiki-platformPoCs públicas encontradas — 4
githubgithub.com/byteReaper77/CVE-2025-32429★ 10githubgithub.com/amir-othman/CVE-2025-32429★ 0githubgithub.com/imbas007/CVE-2025-32429-Checker★ 0exploitdbwww.exploit-db.com/exploits/52384não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://github.com/xwiki/xwiki-platform/commit/dfd0744e9c18d24ac66a0d261dc6cafd1c209101https://github.com/xwiki/xwiki-platform/commit/f502b5d5fd36284a50890ad26d168b7d8dc80bd3https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-vr59-gm53-v7cqhttps://jira.xwiki.org/browse/XWIKI-23093