Критическая SQL-инъекция в расширении XWiki ставит под угрозу корпоративные вики

На платформе для создания совместных веб-приложений XWiki выявлена уязвимость критического уровня опасности, затрагивающая популярное расширение Full Calendar Macro. Проблема, зарегистрированная в Банке данных угроз (BDU) под идентификатором BDU:2026-00448 и получившая идентификатор CVE-2025-65091, связана с внедрением SQL (SQL injection). Уязвимость позволяет удалённому злоумышленнику без аутентификации получить полный контроль над базой данных приложения, что открывает путь к хищению конфиденциальной информации, выполнению произвольных команд и организации атак на отказ в обслуживании (Denial of Service, DoS).

Детали уязвимости

Уязвимость существует в расширении Full Calendar Macro для XWiki версий до 2.4.5. Проблема классифицируется как CWE-89, то есть непринятие мер по защите структуры запроса SQL. Конкретно, ошибка содержится в компоненте "JSONService.xml", который неправильно обрабатывает пользовательский ввод, позволяя злоумышленнику модифицировать выполняемые SQL-запросы. Поскольку XWiki часто используется компаниями и организациями для внутренней документации и совместной работы, потенциально под ударом могут оказаться корпоративные данные, включая персональные данные сотрудников, внутренние регламенты и проектные материалы.

Оценка по методологии CVSS демонстрирует исключительную серьёзность угрозы. По версии CVSS 2.0 уязвимость получила максимально возможный балл - 10.0, с вектором AV:N/AC:L/Au:N/C:C/I:C/A:C. Это означает, что для атаки достаточно сетевого доступа, низкая сложность эксплуатации, отсутствие требований к аутентификации, а последствия - полная компрометация конфиденциальности, целостности и доступности данных. Аналогично, оценка по CVSS 3.1 также составляет критические 10.0 баллов с вектором AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H, где дополнительно указан значительный охват влияния на смежные системы.

Производитель программного обеспечения, компания XWiki SAS, уже подтвердил наличие уязвимости и оперативно выпустил исправление. Уязвимость была устранена в коммите "5fdcf06a05015786492fda69b4d9dea5460cc994" в публичном репозитории GitHub. Единственной эффективной мерой защиты является немедленное обновление расширения Full Calendar Macro до версии 2.4.5 или более поздней. Администраторам развёрнутых систем XWiki настоятельно рекомендуется проверить используемые версии всех установленных расширений и применить все доступные патчи безопасности.

На текущий момент информация о существовании активных эксплойтов, использующих данную уязвимость, уточняется. Однако, учитывая критический уровень угрозы, простой способ эксплуатации (инъекция) и публичность технических деталей на GitHub, появление работающих вредоносных скриптов в ближайшее время весьма вероятно. Следовательно, задержка с обновлением создаёт значительные риски для безопасности всей информационной системы.

Данный инцидент в очередной раз подчёркивает важность регулярного аудита безопасности не только базового программного обеспечения, но и всех подключаемых модулей и расширений, которые часто становятся целью для атак. Для организаций, использующих XWiki, критически необходимо наладить процесс управления обновлениями, особенно для компонентов, имеющих доступ к базе данных. Кроме того, рекомендуется применять принцип минимальных привилегий для учётных записей, под которыми работает приложение, чтобы в случае успешной атаки ограничить потенциальный ущерб.

Ссылки на официальные источники, включая бюллетень безопасности GitHub и страницу расширения, уже опубликованы в карточке уязвимости BDU. Специалистам по кибербезопасности и администраторам стоит внимательно изучить эти материалы, чтобы полностью понять механизм работы уязвимости и убедиться в корректности установки патча. Своевременное реагирование на такие уязвимости является ключевым элементом защиты корпоративных знаний и инфраструктуры от современных киберугроз.