一、 漏洞 CVE-2025-55748 基础信息
漏洞信息
# XWiki平台配置文件泄露漏洞
## 概述
XWiki Platform 是一个通用的 wiki 平台,为构建在其上的应用程序提供运行时服务。在受影响的版本中,攻击者可通过特定 URL 直接访问并读取配置文件。
## 影响版本
受影响版本:从 4.2-milestone-2 到 16.10.6
## 细节
攻击者可利用 `jsx` 和 `sx` 端点,通过构造类似如下的 URL 读取配置文件:
```
http://localhost:8080/bin/ssx/Main/WebHome?resource=../../WEB-INF/xwiki.cfg&minify=false
```
该漏洞允许未经授权的用户访问敏感的配置文件,如 `xwiki.cfg`。
## 影响
未授权用户可读取服务器上的配置文件,可能导致敏感信息泄露,如数据库连接信息、认证配置等,从而进一步危及系统安全。
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-55748 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | XWiki Platform 4.2-milestone-2 through 16.10.6 contains a path traversal caused by improper access control in jsx and sx endpoints, letting remote attackers read configuration files, exploit requires no special privileges. | https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2025/CVE-2025-55748.yaml | POC详情 |
三、漏洞 CVE-2025-55748 的情报信息
-
标题: [XWIKI-23109] Configuration files can be accessed through jsx and sx endpoints - XWiki.org JIRA -- 🔗来源链接
标签: x_refsource_MISC
神龙速读![[XWIKI-23109] Configuration files can be accessed through jsx and sx endpoints - XWiki.org JIRA](https://cvepdf.imfht.com:2443//ti_screenshot/2025-09-04/screenshot-full-2025-09-04T16-35-21.005Z-0418f7f85c731bafaf68.webp)
-
标题: Configuration files can be accessed through jsx and sx endpoints · Advisory · xwiki/xwiki-platform · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
-
标题: XWIKI-23109 XWIKI-19350: Improve resource validation · xwiki/xwiki-platform@9e7b4c0 · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-55748
四、漏洞 CVE-2025-55748 的评论
暂无评论