Поделиться
Positive Technologies помогла исправить уязвимости в XWiki — платформе для создания вики-сайтов
Эксперты PT SWARM Алексей Соловьев и Евгений Копытин обнаружили три уязвимости в опенсорсной платформе XWiki, которую компании используют для создания вики-сайтов. Успешная эксплуатация недостатков безопасности могла позволить атакующему похитить данные сотрудников и заблокировать доступ к XWiki, что нарушило бы операционные процессы компании. Разработчик проекта был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление ПО. Об этом CNews сообщили представители Positive Technologies.
Уязвимости PT-2025-30704 (CVE-2025-32429, BDU:2025-09129) было присвоено 9,3 балла из 10 по шкале CVSS 4.0, что соответствует критическому уровню угрозы. Две другие бреши были объединены общим идентификатором PT-2025-31942 (CVE-2025-32430, BDU:2025-06941) и получили по 6,5 балла.
В ходе мониторинга актуальных угроз (threat intelligence) эксперты Positive Technologies установили, что потенциально по всему миру уязвимы более 21 тыс. узлов с установленной XWiki. Большинство из них было зафиксировано в Германии (26%), США (19%), Франции (18%), Гонконге (6%) и России (5%).
Успешная эксплуатация уязвимости PT-2025-30704 привела бы к сбою в работе XWiki, что могло нарушить процессы и повлечь негативную реакцию со стороны клиентов и партнеров пострадавшей компании. На восстановление доступа к размещенной на платформе информации потребовались бы дополнительные ресурсы. В свою очередь, ошибки PT-2025-31942 позволяли нарушителю совершить социотехническую атаку, чтобы от имени администратора выполнить произвольный код на сервере и закрепиться на нем. Так злоумышленник получил бы доступ к конфиденциальным данным и смог бы, например, продолжить движение внутри корпоративной сети для атак на рабочие компьютеры сотрудников и внутренние серверы компании. Чтобы оставаться защищенными, пользователям необходимо в кратчайшие сроки обновить XWiki до последней версии.
«При отправке специального HTTP-запроса от неаутентифицированного пользователя платформа очищала не все входные данные, что позволяло бы злоумышленнику внедрить SQL-инъекцию (HQL-инъекцию). При этом уязвимость CVE-2025-32429 нельзя назвать стандартной, так как возможности ее использования были ограничены особенностями работы XWiki, — сказал Алексей Соловьев, руководитель группы экспертизы отдела анализа защищенности веб-приложений, Positive Technologies. — Успешно проэксплуатировав ошибку, нарушитель мог отправить в базу данных множество HTTP-запросов с командой «заснуть», что перегрузило бы XWiki, вызвав отказ в обслуживании».
По словам Евгения Копытина, для успешной эксплуатации PT-2025-31942 требовалось, чтобы пользователь перешел по специальной ссылке, после чего в его браузере был бы выполнен вредоносный JavaScript-код. Атака с использованием межсайтового скриптинга (XSS), совершенная в отношении обычного пользователя, позволила бы нарушителю повысить свои привилегии в XWiki. Если бы жертвой стал администратор платформы, нарушитель получил бы возможность читать и редактировать конфиденциальные данные компании. Злоумышленник также мог выполнить произвольный код на сервере, что позволило бы ему, например, заменить адреса корпоративных страниц ссылками на фишинговые ресурсы и похитить учетные записи сотрудников. Если бы сервер с XWiki находился в локальной сети организации, то нарушитель мог развить атаку на других устройствах.
Подобные уязвимости могут возникать в различных решениях, имеющих сложную архитектуру и широкий набор функций. Так, в начале 2025 г. специалисты PT SWARM Алексей Соловьев и Ян Чижевский обнаружили в системе управления сайтами NetCat CMS ошибки PT-2024-5669–PT-2024-5691, также связанные с внедрением SQL-кода и использованием межсайтового скриптинга. Чтобы обеспечить безопасность большого числа активно развивающихся компонентов, необходимы специализированные инструменты.
Продвинутые системы классов NTA (NDR), детектируют попытки эксплуатации подобных уязвимостей, а продукты класса NGFW, блокируют атаки с их использованием. Выявлять бреши в защите еще на стадии разработки продукта можно с помощью статистического анализатора кода. Для блокировки попыток эксплуатации уязвимостей рекомендуем использовать межсетевые экраны уровня веб-приложений.
Короткая ссылка
