Германия, США и Россия в зоне риска. В опенсорсной платформе XWiki нашли уязвимости, позволяющие украсть данные сотрудников

Эксперты PT SWARM Алексей Соловьев и Евгений Копытин нашли три уязвимости в опенсорсной платформе XWiki, которую компании используют для создания вики-сайтов. При успешной эксплуатации этих проблем атакующий мог бы похитить данные сотрудников и фактически заблокировать доступ к XWiki, что ударило бы по операционным процессам. Разработчика уведомили об угрозе по правилам ответственного раскрытия, после чего он выпустил обновление ПО.

Уязвимости PT-2025-30704 (CVE-2025-32429, BDU:2025-09129) присвоили 9,3 балла из 10 по шкале CVSS 4.0, то есть критический уровень. Еще две бреши объединены общим идентификатором PT-2025-31942 (CVE-2025-32430, BDU:2025-06941) и получили по 6,5 балла.

Во время мониторинга актуальных угроз (threat intelligence) в Positive Technologies оценили, что потенциально по всему миру уязвимы более 21 тыс. узлов с установленной XWiki. Больше всего таких систем зафиксировали в Германии (26%), США (19%), Франции (18%), Гонконге (6%) и России (5%).

Эксплуатация PT-2025-30704 могла бы привести к сбою в работе XWiki и нарушению бизнес-процессов, а восстановление доступа к размещенной на платформе информации потребовало бы дополнительных ресурсов. В случае PT-2025-31942 сценарии выглядели опаснее: атакующий мог бы провернуть социотехническую атаку так, чтобы от имени администратора выполнить произвольный код на сервере и закрепиться на нем. Это открывало бы путь к конфиденциальным данным, а затем - к развитию атаки внутри корпоративной сети, например к рабочим компьютерам сотрудников и внутренним серверам. Чтобы снизить риск, пользователям рекомендуют как можно быстрее обновить XWiki до актуальной версии.

Алексей Соловьев пояснил, что в одном из сценариев достаточно было отправить специально сформированный HTTP-запрос от неаутентифицированного пользователя: платформа очищала входные данные не полностью, и это позволяло внедрить SQL-инъекцию (HQL-инъекцию). При этом уязвимость CVE-2025-32429 нельзя считать типовой, потому что ее применение ограничивалось особенностями работы XWiki. Если бы ошибку удалось использовать, нарушитель мог бы засыпать базу данных множеством HTTP-запросов с командой “заснуть”, перегрузить XWiki и спровоцировать отказ в обслуживании.

Евгений Копытин добавил, что для эксплуатации PT-2025-31942 требовалось, чтобы пользователь перешел по специальной ссылке - тогда в браузере выполнялся бы вредоносный JavaScript-код. XSS-атака против обычного пользователя могла бы помочь злоумышленнику повысить привилегии в XWiki, а если жертвой становился администратор, то появлялась возможность читать и редактировать конфиденциальные данные. Дальше атакующий мог бы выполнить произвольный код на сервере, например подменить адреса корпоративных страниц ссылками на фишинговые ресурсы и похитить учетные записи сотрудников. Если сервер с XWiki находится внутри локальной сети организации, у атакующего появлялся бы шанс развить атаку и на другие устройства.

Похожие проблемы встречаются и в других продуктах со сложной архитектурой и большим набором функций. Так, в начале 2025 года специалисты PT SWARM Алексей Соловьев и Ян Чижевский обнаружили в NetCat CMS ошибки PT-2024-5669-PT-2024-5691, также связанные с внедрением SQL-кода и межсайтовым скриптингом. Для защиты большого числа активно развивающихся компонентов обычно требуются специализированные инструменты и регулярный контроль обновлений.