一、 漏洞 CVE-2025-32970 基础信息
漏洞信息
                                        # org.xwiki.platform:xwiki-platform-wysiwyg-api 漏洞引起的开放式重定向问题

## 概述
XWiki 是一个通用的维基平台,其中存在一个开放重定向漏洞,允许攻击者构造将用户重定向到任意 URL 的 URL。

## 影响版本
- 从 13.5-rc-1 到 15.10.12
- 从 16.0.0-rc-1 到 16.4.3
- 从 16.5.0-rc-1 到 16.7.9

## 细节
该漏洞存在于 HTML 转换请求过滤器中,攻击者可以利用此漏洞构造一个 URL,该 URL 将重定向到任意目标。

## 影响
此漏洞已在版本 15.10.13、16.4.4 和 16.8.0 中修复。未升级到这些版本的用户可能受到攻击,导致潜在的恶意重定向。
神龙判断

是否为 Web 类漏洞:

判断理由:

是。这个漏洞允许攻击者在XWiki实例上构造URL,这些URL能够重定向到任意的URL,这属于Web服务端的安全问题。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
org.xwiki.platform:xwiki-platform-wysiwyg-api Open Redirect vulnerability
来源:美国国家漏洞数据库 NVD
漏洞描述信息
XWiki is a generic wiki platform. In versions starting from 13.5-rc-1 to before 15.10.13, from 16.0.0-rc-1 to before 16.4.4, and from 16.5.0-rc-1 to before 16.8.0, an open redirect vulnerability in the HTML conversion request filter allows attackers to construct URLs on an XWiki instance that redirects to any URL. This issue has been patched in versions 15.10.13, 16.4.4, and 16.8.0.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
指向未可信站点的URL重定向(开放重定向)
来源:美国国家漏洞数据库 NVD
漏洞标题
XWiki Platform 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
XWiki Platform是XWiki开源的一套用于创建Web协作应用程序的Wiki平台。 XWiki Platform 15.10.13之前版本、16.4.4之前版本和16.8.0之前版本存在安全漏洞,该漏洞源于开放重定向漏洞,可能导致构造恶意URL。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-32970 的公开POC
# POC 描述 源链接 神龙链接
1 A vulnerability in XWiki's WYSIWYG API allows an attacker to redirect users to arbitrary external URLs through the xerror parameter. This could be used in phishing attacks to redirect users to malicious websites. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2025/CVE-2025-32970.yaml POC详情
三、漏洞 CVE-2025-32970 的情报信息

  • 标题: [XWIKI-22487] Open redirect through HTML conversion request filter - XWiki.org JIRA -- 🔗来源链接

    标签: x_refsource_MISC

    [XWIKI-22487] Open redirect through HTML conversion request filter - XWiki.org JIRA

  • 标题: URL Redirection to Untrusted Site ('Open Redirect') in org.xwiki.platform:xwiki-platform-wysiwyg-api · Advisory · xwiki/xwiki-platform · GitHub -- 🔗来源链接

    标签: x_refsource_CONFIRM

    URL Redirection to Untrusted Site ('Open Redirect') in org.xwiki.platform:xwiki-platform-wysiwyg-api · Advisory · xwiki/xwiki-platform · GitHub

  • 标题: XWIKI-22487: Validate redirect URL in request parameter converter · xwiki/xwiki-platform@6dab790 · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    XWIKI-22487: Validate redirect URL in request parameter converter · xwiki/xwiki-platform@6dab790 · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2025-32970
四、漏洞 CVE-2025-32970 的评论

暂无评论

发表评论