Informazioni sul CVE-2025-24019
YesWiki vulnerable to authenticated arbitrary file deletion
CWE ID: CWE-22
Base Score (CVSS): N/A
CVE: CVE-2025-24019
Descrizione: SìWiki è un sistema wiki scritto in PHP. In versioni fino a e inclusi 4.4.5, è possibile che qualsiasi utente autenticato, tramite l’utilizzo del filemanager, elimini qualsiasi file di proprietà dell’utente che esegue il FastCGI Process Manager (FPM) sul host senza alcuna limitazione sullo scope del filesystem. Questa vulnerabilità consente a qualsiasi utente autenticato di rimuovere arbitrariamente contenuti dalla Wiki, con conseguente perdita di dati parziale e defacement/deterioramento del sito web. Nel contesto di un’installazione di SìWiki senza modifiche, i file `yeswiki` (ad esempio .php) non sono di proprietà dello stesso utente (root) del processo FPM (www-data). Tuttavia, in un’installazione standard, www-data potrebbe anche essere il proprietario dei file PHP, consentendo a un utente malintenzionato di eliminare completamente l’accesso alla Wiki cancellando tutti i file PHP importanti (come index.php o file di base di SìWiki). La versione 4.5.0 contiene una patch per questo problema.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: Low, Interazione utente: None, Confidenzialità: None, Integrità: Low, Disponibilità: High.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | L | Low | Richiede pochi privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | N | None | Nessun impatto sulla riservatezza. |
| Integrity Impact (I) | L | Low | Impatto limitato. |
| Availability Impact (A) | H | High | Rende il sistema inutilizzabile. |
Riferimenti esterni
- https://github.com/YesWiki/yeswiki/security/advisories/GHSA-43c9-gw4x-pcx6
- https://github.com/YesWiki/yeswiki/commit/3ddd833d22703caf9025659eb174f7765df7147c
Prodotti interessati
- YesWiki – yeswiki
Relazioni con altri prodotti
Produttore:YesWiki
Prodotto: yeswiki
Anno: 2025
CWE: CWE-22
CVSS: 0.0