YesWiki kwetsbaar voor geauthenticeerde willekeurige bestandverwijdering

Een succesvolle exploitatie van CVE-2025-24019 kan leiden tot aanzienlijke schade aan een YesWiki-installatie. Aangezien geauthenticeerde gebruikers in staat zijn om willekeurige bestanden te verwijderen, kunnen kritieke systeembestanden, configuratiebestanden of zelfs de wiki-inhoud zelf worden verwijderd. Dit resulteert in dataverlies, website defacement en mogelijk een volledige uitval van de wiki-service. In containeromgevingen, waar de yeswiki bestanden (zoals .php bestanden) niet gewijzigd zijn, kan dit de functionaliteit van de applicatie ernstig aantasten. De impact is vergelijkbaar met scenario's waarbij een gebruiker ongeautoriseerde toegang krijgt tot de serverbestanden en deze kan manipuleren.

Organizations using YesWiki, particularly those with containerized deployments or shared hosting environments, are at risk. Legacy configurations with weak authentication or overly permissive file permissions are especially vulnerable. Users relying on YesWiki for critical documentation or knowledge management should prioritize patching.

• php: Examine web server access logs for requests to the filemanager endpoint with suspicious parameters that could indicate file deletion attempts. Look for patterns like ?file=../../../../etc/passwd.

grep -i 'file=../../' /var/log/apache2/access.log

• linux / server: Monitor FPM user processes for unexpected file activity. Use lsof to identify which processes have open files that are being deleted.

lsof -u www-data | grep deleted

• generic web: Check response headers for unusual content types or error messages after attempting to access or delete files through the filemanager. Look for 403 Forbidden errors or unexpected file listings.

1. 2025-01-21Disclosure

   disclosure

1. Gereserveerd2025-01-16
2. Gepubliceerd2025-01-21
3. Gewijzigd2025-02-12
4. EPSS bijgewerkt2026-04-02

De primaire mitigatie voor CVE-2025-24019 is het upgraden van YesWiki naar versie 4.5.0 of hoger. Deze versie bevat de benodigde correcties om de kwetsbaarheid te verhelpen. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van de gebruiker die de FPM uitvoert, of het implementeren van een Web Application Firewall (WAF) om pogingen tot bestandstoegang via de filemanager te blokkeren. Controleer de toegang tot de filemanager en beperk deze tot beheerders. Na de upgrade, verifieer de integriteit van de wiki-installatie door een testgebruiker te laten proberen bestanden te verwijderen via de filemanager; dit zou niet mogelijk moeten zijn.