プラットフォーム
java
コンポーネント
org.xwiki.platform:xwiki-platform-oldcore
修正版
1.8.1
17.0.1
17.5.1
1.8.1
17.0.1
17.5.1
16.10.16
XWiki Platform は、その上に構築されたアプリケーションのためのランタイムサービスを提供する汎用ウィキプラットフォームです。バージョン 1.8-rc-1, 17.0.0-rc-1 および 17.5.0-rc-1 以前には、データベースリストプロパティのメタデータの一部としてすべての利用可能なページをリストする REST API エンドポイント(例:/xwiki/rest/wikis/xwiki/spaces/AnnotationCode/pages/AnnotationConfig/objects/AnnotationCode.AnnotationConfig/0/properties)におけるリソース枯渇の脆弱性が存在します。大規模なウィキでは、これにより利用可能なサーバーリソースが枯渇する可能性があります。バージョン 16.10.16, 17.4.8, 17.1 でこの問題は修正されています。
CVE-2026-40104 は、XWiki Platform の 16.10.16、17.4.8、および 17.10.1 以前のバージョンに影響します。この脆弱性は、データベースリストプロパティのメタデータの一部として利用可能なページをリストする REST API エンドポイントにあります。大規模なウィキでは、これによりリソースの枯渇につながる可能性があります。具体的には、/xwiki/rest/wikis/xwiki/spaces/AnnotationCode/pages/AnnotationConfig/objects/AnnotationCode.AnnotationConfig/0/properties のクエリは、過剰なメモリと処理時間を消費し、プラットフォーム全体のパフォーマンスに悪影響を及ぼす可能性があります。
攻撃者は、REST API エンドポイントに悪意のあるリクエストを送信することで、この脆弱性を悪用する可能性があります。ページリストを利用してサーバーのリソースを枯渇させ、サービス拒否 (DoS) 状態を引き起こす可能性があります。悪用の可能性は、ウィキのサイズと API の構成によって異なります。多数のページを持つウィキは、このタイプの攻撃に対してより脆弱です。
Organizations heavily reliant on XWiki Platform for knowledge management and collaboration are at risk, particularly those with large wikis and high user traffic. Shared hosting environments where multiple wikis reside on the same server are also at increased risk, as a successful attack on one wiki could impact others.
disclosure
エクスプロイト状況
EPSS
0.05% (15% パーセンタイル)
このリスクを軽減するには、修正が含まれている XWiki のバージョンにアップグレードしてください。バージョン 16.10.16、17.4.8、および 17.10.1 はすでに解決策を実装しており、これはデータベースリストプロパティの利用可能な値に構成されたクエリ制限を適用することです。アップグレードは、XWiki インスタンスを保護する最も効果的な方法です。即時アップグレードが不可能な場合は、サーバーのリソース使用状況を監視し、アップグレードが実行されるまで影響を受けるエンドポイントへのアクセスを制限してください。
Actualice XWiki Platform a la versión 16.10.16 o superior, 17.4.8 o superior, o 17.10.1 o superior para mitigar la vulnerabilidad de agotamiento de recursos en las API REST. La actualización corrige la falta de límites de consulta en las llamadas a la API que pueden agotar los recursos del servidor en wikis grandes. Consulte la documentación oficial de XWiki para obtener instrucciones detalladas de actualización.
脆弱性分析と重要アラートをメールでお届けします。
16.10.16、17.4.8、および 17.10.1 以前のバージョンがこの脆弱性に対して脆弱です。
管理インターフェースのプラットフォーム情報ページにアクセスすることで、XWiki バージョンを確認できます。
すぐにアップグレードできない場合は、サーバーのリソース使用状況を監視し、影響を受けるエンドポイントへのアクセスを制限してください。
現在、この脆弱性を検出するための特定のツールはありませんが、定期的なセキュリティ監査が推奨されます。
この脆弱性は、サーバーのリソースを枯渇させることで、サービス拒否 (DoS) を引き起こす可能性があります。
pom.xml ファイルをアップロードすると、影響の有無を即座にお知らせします。