Plateforme
java
Composant
org.xwiki.platform:xwiki-platform-oldcore
Corrigé dans
1.8.1
17.0.1
17.5.1
1.8.1
17.0.1
17.5.1
16.10.16
La vulnérabilité CVE-2026-40104 affecte XWiki Platform dans les versions 1.8-rc-1, 17.0.0-rc-1 et antérieures à 17.10.1. Elle se manifeste par une exhaustion des ressources serveur due à l'absence de limites de requête dans les API REST listant les pages. Cette vulnérabilité peut affecter particulièrement les wikis de grande taille. La correction est disponible dans les versions 16.10.16, 17.4.8 et 17.1.
La vulnérabilité CVE-2026-40104 affecte XWiki Platform dans les versions antérieures à 16.10.16, 17.4.8 et 17.10.1. Le problème réside dans les points d'extrémité de l'API REST qui listent les pages disponibles en tant que métadonnées pour les propriétés de liste de base de données. Sur les wikis volumineux, cela peut entraîner un épuisement des ressources. La requête de /xwiki/rest/wikis/xwiki/spaces/AnnotationCode/pages/AnnotationConfig/objects/AnnotationCode.AnnotationConfig/0/properties peut consommer une mémoire et un temps de traitement excessifs, ce qui affecte négativement les performances globales de la plateforme.
Un attaquant peut exploiter cette vulnérabilité en envoyant une requête malveillante à l'endpoint de l'API REST. Il peut exploiter la liste des pages pour épuiser les ressources du serveur, ce qui peut entraîner une condition de déni de service (DoS). La probabilité d'exploitation dépend de la taille du wiki et de la configuration de l'API. Les wikis disposant d'un grand nombre de pages sont plus susceptibles d'être la cible de ce type d'attaque.
Organizations heavily reliant on XWiki Platform for knowledge management and collaboration are at risk, particularly those with large wikis and high user traffic. Shared hosting environments where multiple wikis reside on the same server are also at increased risk, as a successful attack on one wiki could impact others.
disclosure
Statut de l'Exploit
EPSS
0.05% (percentile 15%)
Pour atténuer ce risque, mettez à niveau vers une version de XWiki qui inclut la correction. Les versions 16.10.16, 17.4.8 et 17.10.1 ont déjà mis en œuvre la solution, qui applique la limite de requête configurée aux valeurs disponibles pour les propriétés de liste de base de données. La mise à niveau est le moyen le plus efficace de protéger votre instance XWiki. Si une mise à niveau immédiate n'est pas possible, surveillez l'utilisation des ressources du serveur et restreignez l'accès aux points d'extrémité affectés jusqu'à ce que la mise à niveau puisse être effectuée.
Actualice XWiki Platform a la versión 16.10.16 o superior, 17.4.8 o superior, o 17.10.1 o superior para mitigar la vulnerabilidad de agotamiento de recursos en las API REST. La actualización corrige la falta de límites de consulta en las llamadas a la API que pueden agotar los recursos del servidor en wikis grandes. Consulte la documentación oficial de XWiki para obtener instrucciones detalladas de actualización.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Les versions antérieures à 16.10.16, 17.4.8 et 17.10.1 sont vulnérables à cette vulnérabilité.
Vous pouvez vérifier la version de XWiki en accédant à la page d'informations de la plateforme dans l'interface d'administration.
Si vous ne pouvez pas mettre à niveau immédiatement, surveillez l'utilisation des ressources du serveur et restreignez l'accès aux points d'extrémité affectés.
Actuellement, il n'existe pas d'outils spécifiques pour détecter cette vulnérabilité, mais des audits de sécurité réguliers sont recommandés.
Cette vulnérabilité peut entraîner une condition de déni de service (DoS) en épuisant les ressources du serveur.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.