Специалисты PT SWARM Алексей Соловьев и Евгений Копытин выявили три бреши в безопасности в открытой платформе XWiki, применяемой организациями для развертывания вики-сайтов. Использование этих недостатков могло бы дать злоумышленнику возможность похитить персональные данные работников и заблокировать доступ к XWiki, нарушив тем самым бизнес-процессы компании. Разработчики проекта были проинформированы об угрозе в соответствии с принципами ответственного раскрытия и выпустили патч для программного обеспечения. Об этом CNews сообщили в компании Positive Technologies.
Уязвимости PT-2025-30704 (CVE-2025-32429, BDU:2025-09129) был присвоен рейтинг 9,3 из 10 по шкале CVSS 4.0, что классифицирует её как критическую. Две другие уязвимости были объединены под общим идентификатором PT-2025-31942 (CVE-2025-32430, BDU:2025-06941) и получили оценку 6,5 балла каждая.
В рамках мониторинга актуальных угроз (threat intelligence) эксперты Positive Technologies определили, что во всем мире потенциально подвержены атакам более 21 тысячи узлов с установленной XWiki. Наибольшее их количество зарегистрировано в Германии (26%), США (19%), Франции (18%), Гонконге (6%) и России (5%).
Успешная эксплуатация уязвимости PT-2025-30704 привела бы к отказу в обслуживании XWiki, что могло бы нарушить рабочие процессы и спровоцировать негативную реакцию клиентов и партнеров пострадавшей организации. На восстановление доступа к информации, размещенной на платформе, потребовались бы дополнительные усилия и ресурсы. В свою очередь, недостатки PT-2025-31942 позволяли злоумышленнику провести социотехническую атаку, чтобы от имени администратора выполнить произвольный код на сервере и закрепиться в системе. Это дало бы нарушителю доступ к конфиденциальным сведениям и возможность, например, продвигаться дальше по корпоративной сети для атак на рабочие станции сотрудников и внутренние серверы компании. Чтобы обеспечить защиту, пользователям необходимо как можно скорее обновить XWiki до актуальной версии.
«При отправке специально сформированного HTTP-запроса от неавторизованного пользователя платформа выполняла недостаточную фильтрацию входных данных, что создавало возможность для внедрения SQL-инъекции (HQL-инъекции). При этом уязвимость CVE-2025-32429 нельзя отнести к типичным, поскольку возможности её эксплуатации были ограничены спецификой работы XWiki, — пояснил Алексей Соловьев, руководитель группы экспертизы отдела анализа защищенности веб-приложений Positive Technologies. — Успешно воспользовавшись этой ошибкой, злоумышленник мог отправить в базу данных множество HTTP-запросов с командой «заснуть», что вызвало бы перегрузку XWiki и привело к отказу в обслуживании».
Согласно объяснению Евгения Копытина, для реализации угрозы PT-2025-31942 злоумышленнику необходимо было заставить пользователя перейти по особой ссылке, что приводило к исполнению вредоносного JavaScript в его браузере. Проведенная против рядового пользователя XSS-атака (межсайтовый скриптинг) открывала возможность для повышения привилегий в системе XWiki. В случае если целью становился администратор платформы, атакующий получал доступ к чтению и изменению чувствительной корпоративной информации. Также существовала угроза выполнения произвольного кода на сервере, что, например, позволяло подменять адреса внутренних страниц на фишинговые и захватывать учетные данные сотрудников. Если бы сервер XWiki был развернут во внутренней сети компании, это дало бы злоумышленнику точку опоры для дальнейших атак на другие узлы.
Такие уязвимости характерны для комплексных решений со сложной структурой и обширной функциональностью. Например, в начале 2025 года эксперты PT SWARM Алексей Соловьев и Ян Чижевский выявили в CMS NetCat группу ошибок PT-2024-5669–PT-2024-5691, связанных с SQL-инъекциями и межсайтовым скриптингом. Для поддержания безопасности множества активно развивающихся модулей требуются специальные средства защиты.
Современные системы класса NTA (NDR) способны обнаруживать попытки использования подобных уязвимостей, а решения класса NGFW — блокировать такие атаки. Находить слабые места на этапе создания продукта помогает статический анализ кода. Для противодействия эксплуатации уязвимостей также рекомендуется применять межсетевые экраны уровня веб-приложений (WAF).
