XWiki Platform es vulnerable a inyección HQL a través de la API REST de búsqueda de wiki y espacio

Un atacante puede explotar esta vulnerabilidad inyectando código HQL malicioso a través del parámetro orderField en la URL de búsqueda REST. Aunque la inyección no es directa debido a la duplicación del campo, la manipulación de la consulta entre las dos instancias permite la ejecución de código arbitrario en la base de datos. Esto podría resultar en la extracción de información confidencial, modificación de datos sensibles, o incluso la ejecución de comandos en el servidor subyacente, dependiendo de los permisos de la cuenta de base de datos utilizada por XWiki. La severidad CRÍTICA (CVSS 9.5) refleja el potencial de impacto significativo en la confidencialidad, integridad y disponibilidad del sistema.

Organizations utilizing XWiki Platform REST Server for content management, collaboration, or knowledge sharing are at risk. Specifically, deployments that rely heavily on user-supplied data within search queries or those that lack robust input validation mechanisms are particularly vulnerable. Shared hosting environments where multiple XWiki instances share the same server resources could also be affected, potentially allowing an attacker to compromise multiple instances through a single vulnerability.

• java / server: Monitor XWiki logs for unusual HQL queries containing single quotes or unexpected characters in the orderField parameter. Use a Java profiler to examine the query construction process and identify potential injection points. • generic web: Use curl or wget to test the REST search endpoint with various orderField parameters, including those containing single quotes and other special characters. Analyze the response for any unexpected behavior or error messages.

curl -X GET "http://xwiki.example.com/rest/xwiki/search?query=doc.fullName%20from%20XWikiDocument%20as%20doc%20where%20%24%24%3D'%24%24%3Dconcat(chr(61)%2Cchr(39))%20" -v

1. 2025-10-06Disclosure

   disclosure

2. 2025-10-06Patch

   patch

1. Reservado2025-06-17
2. Publicada2025-10-06
3. EPSS actualizado2026-03-23

La mitigación principal es actualizar XWiki Platform REST Server a la versión 17.4.2 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales. Estas pueden incluir la validación estricta de la entrada del usuario en el parámetro orderField, el uso de consultas parametrizadas para evitar la inyección de código, y la restricción de los permisos de la cuenta de base de datos utilizada por XWiki. Implementar un Web Application Firewall (WAF) con reglas para detectar y bloquear patrones de inyección HQL también puede ser efectivo. Después de la actualización, confirme la mitigación verificando que el parámetro orderField no permita la inyección de código HQL.