Krytyczna luka Path Traversal w XWiki Platform umożliwiająca odczyt plików konfiguracyjnych
Luka CVE-2026-23734 w XWiki pozwala na odczyt plików konfiguracyjnych. Zalecana aktualizacja do wersji 18.1.0-rc-1 lub nowszej.
- CVSS
- 9.3 CRITICAL
- EPSS
- 97.05%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
W starszych wersjach XWiki Platform (przed 18.1.0-rc-1, 17.10.3, 17.4.9 i 16.10.17) występuje luka Path Traversal, która pozwala na nieautoryzowany dostęp do plików konfiguracyjnych poprzez manipulację parametrem zasobów w URL. Luka ta została załatana w wymienionych wersjach.
Wpływ biznesowy
Eksploatacja tej luki umożliwia atakującemu odczyt wrażliwych plików konfiguracyjnych, co może prowadzić do ujawnienia poufnych informacji i dalszych ataków na infrastrukturę IT. Operatorzy systemów korzystających z podatnych wersji powinni traktować tę lukę jako krytyczną i priorytetowo podjąć działania zabezpieczające.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie XWiki Platform do wersji 18.1.0-rc-1, 17.10.3, 17.4.9 lub 16.10.17, w których luka została załatana. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć dostęp do interfejsów ssx i jsx oraz monitorować logi pod kątem podejrzanych żądań wykorzystujących parametry z prowadzącymi ukośnikami.