Критична уразливість обходу шляху в XWiki Platform дозволяє читати конфігураційні файли

Уразливість CVE-2026-23734 в XWiki Platform дозволяє читати конфігураційні файли через обход шляху. Оновіть до безпечних версій для захисту системи.
CVE-2026-23734CVSS 9.3General

Критична уразливість обходу шляху в XWiki Platform дозволяє читати конфігураційні файли

Уразливість CVE-2026-23734 в XWiki Platform дозволяє читати конфігураційні файли через обход шляху. Оновіть до безпечних версій для захисту системи.

CVSS
9.3 CRITICAL
EPSS
97.05%
Активно використовується
немає в KEV
Продукт
-

Що відомо

Уразливість обходу шляху в XWiki Platform версій до 18.1.0-rc-1, 17.10.3, 17.4.9 та 16.10.17 дозволяє зловмисникам отримати доступ до конфігураційних файлів через спеціально сформовані URL. Проблема виникає через недостатню перевірку параметра resources на кінцях ssx і jsx.

Бізнес-вплив

Ця критична уразливість з CVSS 9.3 може призвести до витоку конфіденційної інформації, що міститься у конфігураційних файлах, включно з налаштуваннями безпеки. Для операторів ІТ та власників інфраструктури це означає підвищений ризик компрометації системи та потенційних подальших атак, якщо вразливість не буде усунена.

Рекомендовані дії адміністратора

Рекомендується негайно оновити XWiki Platform до версій 18.1.0-rc-1, 17.10.3, 17.4.9 або 16.10.17, де ця уразливість виправлена. Якщо оновлення наразі неможливе, слід обмежити доступ до вразливих кінцівок ssx і jsx, переглянути журнали доступу на предмет підозрілої активності та пріоритезувати виправлення цієї проблеми у планах безпеки.

Джерела