Критична уразливість обходу шляху в XWiki Platform дозволяє читати конфігураційні файли
Уразливість CVE-2026-23734 в XWiki Platform дозволяє читати конфігураційні файли через обход шляху. Оновіть до безпечних версій для захисту системи.
- CVSS
- 9.3 CRITICAL
- EPSS
- 97.05%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
Уразливість обходу шляху в XWiki Platform версій до 18.1.0-rc-1, 17.10.3, 17.4.9 та 16.10.17 дозволяє зловмисникам отримати доступ до конфігураційних файлів через спеціально сформовані URL. Проблема виникає через недостатню перевірку параметра resources на кінцях ssx і jsx.
Бізнес-вплив
Ця критична уразливість з CVSS 9.3 може призвести до витоку конфіденційної інформації, що міститься у конфігураційних файлах, включно з налаштуваннями безпеки. Для операторів ІТ та власників інфраструктури це означає підвищений ризик компрометації системи та потенційних подальших атак, якщо вразливість не буде усунена.
Рекомендовані дії адміністратора
Рекомендується негайно оновити XWiki Platform до версій 18.1.0-rc-1, 17.10.3, 17.4.9 або 16.10.17, де ця уразливість виправлена. Якщо оновлення наразі неможливе, слід обмежити доступ до вразливих кінцівок ssx і jsx, переглянути журнали доступу на предмет підозрілої активності та пріоритезувати виправлення цієї проблеми у планах безпеки.