org.xwiki.contrib.markdown:syntax-markdown-commonmark12 में Markdown सामग्री के माध्यम से XSS के लिए असुरक्षित है

यह भेद्यता हमलावरों को XWiki इंस्टॉलेशन में अनधिकृत पहुंच प्राप्त करने की अनुमति देती है। हमलावर HTML के माध्यम से जावास्क्रिप्ट कोड इंजेक्ट कर सकते हैं, जो तब अन्य उपयोगकर्ताओं के ब्राउज़र में निष्पादित होगा। यदि हमलावर के पास व्यवस्थापक या प्रोग्रामिंग अधिकार हैं, तो वे पूरे XWiki इंस्टॉलेशन को नियंत्रित कर सकते हैं। वे संवेदनशील डेटा चुरा सकते हैं, सिस्टम को दूषित कर सकते हैं, या अन्य दुर्भावनापूर्ण गतिविधियाँ कर सकते हैं। इस भेद्यता का उपयोग अन्य प्रणालियों में आगे बढ़ने के लिए भी किया जा सकता है, जिससे संभावित रूप से व्यापक क्षति हो सकती है। यह भेद्यता XWiki उपयोगकर्ताओं के लिए एक गंभीर खतरा है, खासकर उन लोगों के लिए जिनके पास व्यवस्थापक अधिकार हैं।

Organizations using XWiki with the CommonMark Markdown Syntax 1.2 extension installed are at risk. This includes those relying on XWiki for collaborative documentation, knowledge management, or content creation. Specifically, XWiki instances with limited input validation or those lacking robust WAF protection are particularly vulnerable.

• java / server: Monitor XWiki application logs for unusual JavaScript execution patterns or errors related to Markdown parsing. Use Java profilers to identify suspicious code execution within the org.xwiki.contrib.markdown package. • generic web: Use curl/wget to test for the presence of the vulnerable Markdown syntax extension. Check response headers for unexpected JavaScript code. • wordpress / composer / npm: N/A - This vulnerability is specific to the XWiki platform. • database (mysql, redis, mongodb, postgresql): N/A - This vulnerability does not directly impact databases.

1. 2025-04-30Disclosure

   disclosure

1. आरक्षित2025-04-24
2. प्रकाशित2025-04-30
3. संशोधित2025-05-01
4. EPSS अद्यतन2026-03-23

CVE-2025-46558 को कम करने के लिए, XWiki को संस्करण 8.9 या बाद के संस्करण में तुरंत अपडेट करें। यदि अपग्रेड करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके दुर्भावनापूर्ण HTML कोड को फ़िल्टर करने का प्रयास करें। इसके अतिरिक्त, XWiki इंस्टॉलेशन में सभी उपयोगकर्ताओं के लिए स्क्रिप्टिंग को अक्षम करने पर विचार करें, लेकिन इससे कार्यक्षमता सीमित हो सकती है। XWiki के लॉग फ़ाइलों की नियमित रूप से निगरानी करें ताकि किसी भी संदिग्ध गतिविधि का पता लगाया जा सके। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, एक परीक्षण करें।