Plattform
java
Komponente
org.xwiki.platform:xwiki-platform-oldcore
Behoben in
1.8.1
17.0.1
17.5.1
1.8.1
17.0.1
17.5.1
16.10.16
CVE-2026-40104 describes a resource exhaustion vulnerability affecting XWiki Platform. An attacker can trigger this vulnerability by repeatedly querying specific REST API endpoints, potentially leading to denial of service. This issue impacts versions 1.8.0 through 17.10.0, excluding 17.5.0-rc-1. Patches are available in versions 16.10.16, 17.4.8, and 17.10.1.
CVE-2026-40104 betrifft XWiki Platform-Versionen vor 16.10.16, 17.4.8 und 17.10.1. Das Problem liegt in REST-API-Endpunkten, die verfügbare Seiten als Teil der Metadaten für Datenbank-Listen-Eigenschaften auflisten. Bei großen Wikis kann dies zu einem Ressourcenmangel führen. Die Abfrage von /xwiki/rest/wikis/xwiki/spaces/AnnotationCode/pages/AnnotationConfig/objects/AnnotationCode.AnnotationConfig/0/properties kann übermäßigen Speicher und Rechenzeit verbrauchen, was die Gesamtleistung der Plattform negativ beeinflusst.
Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine bösartige Anfrage an den REST-API-Endpunkt sendet. Er könnte die Seitenliste nutzen, um die Serverressourcen zu erschöpfen, was zu einer Denial-of-Service-(DoS)-Bedingung führen könnte. Die Wahrscheinlichkeit einer Ausnutzung hängt von der Größe des Wikis und der API-Konfiguration ab. Wikis mit einer großen Anzahl von Seiten sind anfälliger für diese Art von Angriff.
Organizations heavily reliant on XWiki Platform for knowledge management and collaboration are at risk, particularly those with large wikis and high user traffic. Shared hosting environments where multiple wikis reside on the same server are also at increased risk, as a successful attack on one wiki could impact others.
disclosure
Exploit-Status
EPSS
0.05% (15% Perzentil)
Um dieses Risiko zu mindern, aktualisieren Sie auf eine XWiki-Version, die die Korrektur enthält. Die Versionen 16.10.16, 17.4.8 und 17.10.1 haben die Lösung bereits implementiert, die die konfigurierte Abfragebegrenzung auf die verfügbaren Werte für Datenbank-Listen-Eigenschaften anwendet. Das Aktualisieren ist der effektivste Weg, um Ihre XWiki-Instanz zu schützen. Wenn ein sofortiges Update nicht möglich ist, überwachen Sie die Ressourcennutzung des Servers und beschränken Sie den Zugriff auf die betroffenen Endpunkte, bis das Update durchgeführt werden kann.
Actualice XWiki Platform a la versión 16.10.16 o superior, 17.4.8 o superior, o 17.10.1 o superior para mitigar la vulnerabilidad de agotamiento de recursos en las API REST. La actualización corrige la falta de límites de consulta en las llamadas a la API que pueden agotar los recursos del servidor en wikis grandes. Consulte la documentación oficial de XWiki para obtener instrucciones detalladas de actualización.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Versionen vor 16.10.16, 17.4.8 und 17.10.1 sind von dieser Schwachstelle betroffen.
Sie können die XWiki-Version überprüfen, indem Sie die Plattform-Informationsseite in der Administrationsschnittstelle aufrufen.
Wenn Sie nicht sofort aktualisieren können, überwachen Sie die Ressourcennutzung des Servers und beschränken Sie den Zugriff auf die betroffenen Endpunkte.
Derzeit gibt es keine speziellen Tools, um diese Schwachstelle zu erkennen, aber regelmäßige Sicherheitsaudits werden empfohlen.
Diese Schwachstelle kann zu einer Denial-of-Service-(DoS)-Bedingung führen, indem die Serverressourcen erschöpft werden.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine pom.xml-Datei hoch und wir sagen dir sofort, ob du betroffen bist.