Informazioni sul CVE-2025-24017
YesWiki Vulnerable to Unauthenticated DOM Based XSS
CWE ID: CWE-79
Base Score (CVSS): N/A
CVE: CVE-2025-24017
Descrizione: “YesWiki è un sistema wiki scritto in PHP. Versioni fino e inclusi 4.4.5 sono vulnerabili a qualsiasi utente che crei crafting una DOM basata su XSS su tutte le pagine di YesWiki, che si attiva quando un utente clicca su un link malevolo. La vulnerabilità sfrutta la funzionalità di ricerca per tag. Quando un tag non esiste, il tag viene riflesso sulla pagina e non viene sanificato correttamente dal lato server, consentendo a un utente malintenzionato di generare un link che innesca un XSS sul lato client quando cliccato. Questa vulnerabilità consente a chiunque di generare un link malevolo che innesca un takeover di account quando cliccato, quindi permettendo a un utriente di rubare altri account, modificare pagine, commenti, permessi, estrarre dati utente (email), quindi compromettendo l’integrità, la disponibilità e la riservatezza di un’istanza di YesWiki.”
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:H/A:L
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: None, Interazione utente: Required, Confidenzialità: Low, Integrità: High, Disponibilità: Low.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | R | Required | È richiesta l’interazione di un utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | L | Low | Impatto limitato. |
| Integrity Impact (I) | H | High | Grave impatto sull’integrità. |
| Availability Impact (A) | L | Low | Interferenza limitata. |
Riferimenti esterni
- https://github.com/YesWiki/yeswiki/security/advisories/GHSA-wphc-5f2j-jhvg
- https://github.com/YesWiki/yeswiki/commit/c1e28b59394957902c31c850219e4504a20db98b
Prodotti interessati
- YesWiki – yeswiki
Relazioni con altri prodotti
Produttore:YesWiki
Prodotto: yeswiki
Anno: 2025
CWE: CWE-79
CVSS: 0.0