漏洞描述
XWiki平台是一个通用的维基平台。在15.10.14、16.4.6和16.10.0-rc-1之前,当请求REST端点/rest/wikis/[wikiName]/pages时,即使用户没有查看权限,受保护的页面也会被列出。当整个维基用"防止未注册用户查看页面"保护时,这一点尤其明显:该端点仍会列出维基的页面,但仅限于主维基。这个问题在XWiki 15.10.14、16.4.6、16.10.0RC1中得到了修复。在这些版本中,仍然可以请求该端点,但结果会根据页面的权限进行过滤。
XWiki Platform /rest/wikis/xwiki/pages 权限绕过漏洞(CVE-2025-29925)
PoC代码
暂无相关漏洞推荐
-
CVE-2023-37462: XWiki Platform - Remote Code Execution POC
2025-08-01 | XWiki PlatformXWiki Platform is a generic wiki platform offering runtime services for applications built on top of... -
CVE-2024-45591: XWiki Platform - Unauthorized Document History Access POC
2025-08-01 | XWiki PlatformA vulnerability in XWiki Platform's REST API allows unauthorized users to access document histo... -
CVE-2025-24893: XWiki Platform - Remote Code Execution POC
2025-08-01 | XWiki PlatformAny guest can perform arbitrary remote code execution through a request to SolrSearch. This impacts ... -
Wordpress Plugin Depicter /wp-admin/admin-ajax.php depicter-lead-list SQL 注入漏洞(CVE-2025-2011) 无POC
2025-09-19 | WordpressWordPress插件Depicter的滑块和弹出窗口构建器在包括3.6.1版本在内的所有版本中,由于用户提供的参数缺乏足够的转义处理和现有SQL查询的预处理不足,存在通用的SQL注入漏洞。该漏洞可以... -
Wordpress Plugin Eventin /wp-admin/admin-ajax.php proxy_image 文件读取漏洞(CVE-2025-3419) 无POC
2025-09-19 | WordpressEvent Manager, Events Calendar, Tickets, Registrations – Eventin 是一个用于 WordPress 的插件。该漏洞存在于其 proxy_i...