xwiki CVE-2025-32969 sql注入 - 漏洞情报订阅

漏洞描述

远程未经身份验证的用户可能会从 HQL 执行上下文中逃脱并执行盲 SQL 注入以在数据库后端执行任意 SQL语句，包括启用“阻止未注册用户查看页面，无论页面权限如何”和“阻止未注册用户编辑页面，无论页面权限如何”选项。根据所使用的数据库后端，攻击者不仅可以从数据库中获取密码哈希等机密信息，还可以执行 UPDATE/INSERT/DELETE 查询。

相关漏洞推荐

XWiki Platform /rest/wikis/xwiki/pages 权限绕过漏洞（CVE-2025-29925）无POC

2025-09-12 | XWiki Platform

XWiki平台是一个通用的维基平台。在15.10.14、16.4.6和16.10.0-rc-1之前，当请求REST端点/rest/wikis/[wikiName]/pages时，即使用户没有查看权限，...
XWiki /webjars 目录遍历漏洞（CVE-2025-55747）无POC

2025-09-12 | XWiki

XWiki Platform 是一个通用的 wiki 平台，为构建在其之上的应用程序提供运行时服务。在特定版本范围内存在一个漏洞，允许通过 webjars API 访问配置文件。
xwiki 路径遍历漏洞(CVE-2025-55747) 无POC

2025-09-11 | xwiki

XWiki 平台是一个通用的 wiki 平台，为构建在其之上的应用程序提供运行时服务。在版本 6.1-milestone-2 到 16.10.6 中，可以通过webjars API 访问配置文件
Wordpress Plugin Depicter /wp-admin/admin-ajax.php depicter-lead-list SQL 注入漏洞（CVE-2025-2011）无POC

2025-09-19 | Wordpress

WordPress插件Depicter的滑块和弹出窗口构建器在包括3.6.1版本在内的所有版本中，由于用户提供的参数缺乏足够的转义处理和现有SQL查询的预处理不足，存在通用的SQL注入漏洞。该漏洞可以...
Wordpress Plugin Eventin /wp-admin/admin-ajax.php proxy_image 文件读取漏洞（CVE-2025-3419）无POC

2025-09-19 | Wordpress

Event Manager, Events Calendar, Tickets, Registrations – Eventin 是一个用于 WordPress 的插件。该漏洞存在于其 proxy_i...

漏洞描述

PoC代码

相关漏洞推荐

XWiki Platform /rest/wikis/xwiki/pages 权限绕过漏洞（CVE-2025-29925） 无POC

XWiki /webjars 目录遍历漏洞（CVE-2025-55747） 无POC

xwiki 路径遍历漏洞(CVE-2025-55747) 无POC

Wordpress Plugin Depicter /wp-admin/admin-ajax.php depicter-lead-list SQL 注入漏洞（CVE-2025-2011） 无POC

Wordpress Plugin Eventin /wp-admin/admin-ajax.php proxy_image 文件读取漏洞（CVE-2025-3419） 无POC

XWiki Platform /rest/wikis/xwiki/pages 权限绕过漏洞（CVE-2025-29925）无POC

XWiki /webjars 目录遍历漏洞（CVE-2025-55747）无POC

Wordpress Plugin Depicter /wp-admin/admin-ajax.php depicter-lead-list SQL 注入漏洞（CVE-2025-2011）无POC

Wordpress Plugin Eventin /wp-admin/admin-ajax.php proxy_image 文件读取漏洞（CVE-2025-3419）无POC