Krytyczna luka Path Traversal w XWiki Platform umożliwiająca odczyt plików konfiguracyjnych

Luka CVE-2026-23734 w XWiki pozwala na odczyt plików konfiguracyjnych. Zalecana aktualizacja do wersji 18.1.0-rc-1 lub nowszej.
CVE-2026-23734CVSS 9.3General

Krytyczna luka Path Traversal w XWiki Platform umożliwiająca odczyt plików konfiguracyjnych

Luka CVE-2026-23734 w XWiki pozwala na odczyt plików konfiguracyjnych. Zalecana aktualizacja do wersji 18.1.0-rc-1 lub nowszej.

CVSS
9.3 CRITICAL
EPSS
97.05%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

W starszych wersjach XWiki Platform (przed 18.1.0-rc-1, 17.10.3, 17.4.9 i 16.10.17) występuje luka Path Traversal, która pozwala na nieautoryzowany dostęp do plików konfiguracyjnych poprzez manipulację parametrem zasobów w URL. Luka ta została załatana w wymienionych wersjach.

Wpływ biznesowy

Eksploatacja tej luki umożliwia atakującemu odczyt wrażliwych plików konfiguracyjnych, co może prowadzić do ujawnienia poufnych informacji i dalszych ataków na infrastrukturę IT. Operatorzy systemów korzystających z podatnych wersji powinni traktować tę lukę jako krytyczną i priorytetowo podjąć działania zabezpieczające.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie XWiki Platform do wersji 18.1.0-rc-1, 17.10.3, 17.4.9 lub 16.10.17, w których luka została załatana. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć dostęp do interfejsów ssx i jsx oraz monitorować logi pod kątem podejrzanych żądań wykorzystujących parametry z prowadzącymi ukośnikami.

Źródła