В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость в популярной платформе для создания совместных веб-приложений XWiki Platform. Идентификатор уязвимости - BDU:2026-05293, ей также присвоен идентификатор CVE-2026-33229. Проблема, связанная с полным отсутствием проверки авторизации (CWE-862), позволяет удаленному злоумышленнику получить полный контроль над уязвимой системой. Соответственно, это ставит под угрозу конфиденциальность, целостность и доступность всех данных.
Детали уязвимости
Уязвимость затрагивает две основные ветки программного обеспечения. Во-первых, это версии XWiki Platform начиная с 17.0.0 rc-1 и вплоть до 17.4.8. Во-вторых, это версии от 17.5.0 rc-1 до 17.10.1. Производитель, сообщество свободного программного обеспечения, уже подтвердил наличие проблемы и выпустил необходимые патчи. Уязвимость имеет статус устраненной, однако администраторам необходимо в срочном порядке проверить и обновить свои инсталляции.
Оценка по различным версиям системы CVSS подчеркивает серьезность угрозы. В частности, базовая оценка по CVSS 2.0 достигает максимального значения 10.0, что соответствует критическому уровню опасности. Аналогично, оценка по CVSS 3.1 составляет 9.8 баллов, также указывая на критический статус. Более новая метрика CVSS 4.0 оценивает уязвимость в 8.6 балла, что классифицируется как высокий уровень опасности. Разница в оценках обусловлена эволюцией самой методики CVSS, но все версии сходятся в исключительной опасности данной проблемы.
Суть уязвимости заключается в архитектурной ошибке, которая позволяет полностью обойти механизмы авторизации. Как следствие, удаленный атакующий, не имея каких-либо учетных данных, может выполнять произвольные операции. По сути, злоумышленник получает привилегии, эквивалентные правам администратора системы. Таким образом, он может читать, изменять или удалять любые данные, а также нарушать работоспособность всей вики-платформы.
Особую озабоченность вызывает тот факт, что, согласно данным BDU, для данной уязвимости уже существует эксплойт в открытом доступе. Более того, в открытых источниках, включая баг-трекер проекта, доступна видеодемонстрация эксплуатации через макрос Velocity. Это значительно снижает порог входа для потенциальных атакующих. Другими словами, даже злоумышленники с невысоким уровнем технической подготовки могут попытаться использовать эту брешь в безопасности.
Основной и единственный рекомендуемый способ устранения уязвимости - немедленное обновление программного обеспечения до патченных версий. Разработчики выпустили исправления, и вся подробная информация опубликована в официальном консультативном сообщении по безопасности на GitHub (GHSA-h259-74h5-4rh9). Администраторам следует перейти на версии, выпущенные после исправления коммита "9fe84da66184c05953df9466cf3a4acd15a46e63". В противном случае система остается крайне уязвимой для атак.
Потенциальное воздействие успешной эксплуатации этой уязвимости крайне велико. XWiki Platform часто используется во внутренних сетях организаций для совместной работы, документооборота и хранения корпоративных знаний. Следовательно, компрометация такой системы может привести к утечке чувствительной коммерческой информации, внутренних документов или персональных данных. Кроме того, атакующий может использовать доступ для установки вредоносного программного обеспечения с целью обеспечения постоянного присутствия (persistence) в сети или для развертывания шифровальщика (ransomware).
Данный случай ярко иллюстрирует классический вектор атаки, связанный с недостаточным контролем доступа. В матрице MITRE ATT&CK подобные техники относятся к тактике «Обход контроля доступа». Поэтому инциденты такого масштаба служат важным напоминанием для команд SOC о необходимости тщательного мониторинга веб-приложений на аномальную активность. Регулярное и своевременное обновление программного обеспечения остается краеугольным камнем защиты.
В заключение, критическая уязвимость в XWiki Platform требует безотлагательных действий от администраторов. Учитывая наличие работающего эксплойта в открытом доступе, окно для устранения угрозы крайне ограничено. Своевременное применение патчей является ключевым шагом для защиты инфраструктуры от потенциально разрушительного вмешательства.
Ссылки
- https://bdu.fstec.ru/vul/2026-05293
- https://www.cve.org/CVERecord?id=CVE-2026-33229
- https://github.com/xwiki/xwiki-platform/commit/9fe84da66184c05953df9466cf3a4acd15a46e63
- https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-h259-74h5-4rh9
- https://jira.xwiki.org/secure/attachment/44323/Exploit_Velocity_Macro.webm
- https://jira.xwiki.org/browse/XWIKI-23698
