XWiki REST API SQL注入漏洞

漏洞信息

漏洞名称： XWiki REST API SQL注入漏洞

漏洞编号：

• CVE： CVE-2025-32429

漏洞类型： SQL注入

漏洞等级： 高危

漏洞描述： XWiki是一个开源的Wiki和知识管理平台，广泛应用于企业和教育机构中，用于文档管理和协作。其REST API提供了对XWiki功能的编程访问接口，使得开发者能够通过HTTP请求与XWiki进行交互。本次漏洞存在于XWiki REST API的getdeleteddocuments.vm端点中，由于对用户输入的处理不当，导致了SQL注入漏洞。攻击者可以通过构造恶意的SQL查询，绕过正常的认证机制，直接对后端数据库执行非法操作。这种漏洞的利用可能导致敏感数据泄露，包括用户凭证、私人文档内容等，甚至可能允许攻击者获得数据库的管理权限。由于XWiki的广泛应用，此漏洞的影响范围较大，特别是在未及时打补丁的系统中。攻击者无需认证即可利用此漏洞，增加了其危险性。

产品厂商： XWiki

产品名称： XWiki REST API

来源： https://github.com/byteReaper77/CVE-2025-32429

类型： CVE-2025:github search

仓库文件

• LICENSE
• exploit.c

来源概述