一、 漏洞 CVE-2025-32429 基础信息
漏洞信息
# XWiki Platform SQL注入漏洞
## 概述
XWiki Platform 是一个通用的 wiki 平台,为在其上构建的应用程序提供运行时服务。在某些版本中,存在一个 SQL 注入漏洞。
## 影响版本
- 受影响版本:9.4-rc-1 到 16.10.5,以及 17.0.0-rc-1 到 17.2.2
## 细节
攻击者可以利用 `getdeleteddocuments.vm` 页面中的 `sort` 参数注入 SQL 代码。该参数未正确过滤或转义,直接作为 `ORDER BY` 的值使用,导致 SQL 注入。
## 修复版本
- 已修复版本:16.10.6 和 17.3.0-rc-1
## 影响
未经验证的用户可能通过 SQL 注入攻击,读取、修改或删除后端数据库中的数据,可能导致信息泄漏或系统被破坏。
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-32429 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | Exploit for CVE-2025-32429 – SQLi in XWiki REST API (getdeleteddocuments.vm). | https://github.com/byteReaper77/CVE-2025-32429 | POC详情 |
| 2 | Proof-of-Concept exploit for CVE-2025-32429 (SQL Injection in PHP PDO prepared statements) – for educational and security research purposes only | https://github.com/amir-othman/CVE-2025-32429 | POC详情 |
| 3 | None | https://github.com/imbas007/CVE-2025-32429-Checker | POC详情 |
三、漏洞 CVE-2025-32429 的情报信息
-
标题: [XWIKI-23093] SQL injection through getdeleteddocuments.vm template sort parameter - XWiki.org JIRA -- 🔗来源链接
标签: x_refsource_MISC
神龙速读![[XWIKI-23093] SQL injection through getdeleteddocuments.vm template sort parameter - XWiki.org JIRA](https://cvepdf.imfht.com:2443//ti_screenshot/2025-07-25/screenshot-full-2025-07-25T16-42-38.037Z-92b5c9f5f8e4b064dd55.webp)
-
标题: SQL injection through getdeleteddocuments.vm template sort parameter · Advisory · xwiki/xwiki-platform · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
-
标题: XWIKI-23093: Improve deleted documents query · xwiki/xwiki-platform@dfd0744 · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
-
标题: XWIKI-23093: Improve deleted documents query · xwiki/xwiki-platform@f502b5d · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-32429
四、漏洞 CVE-2025-32429 的评论
暂无评论