Platform
java
Component
org.xwiki.platform:xwiki-platform-oldcore
Opgelost in
1.8.1
17.0.1
17.5.1
1.8.1
17.0.1
17.5.1
16.10.16
CVE-2026-40104 is een resource exhaustion kwetsbaarheid in XWiki Platform. Deze kwetsbaarheid treedt op in REST API endpoints, zoals /xwiki/rest/wikis/xwiki/spaces/AnnotationCode/pages/AnnotationConfig/objects/AnnotationCode.AnnotationConfig/0/properties, die alle beschikbare pagina's opsommen zonder query limits toe te passen. Dit kan leiden tot overbelasting van server resources, vooral bij grote wikis. De kwetsbaarheid treft versies van XWiki Platform tussen 1.8.0 en 17.10.1.
CVE-2026-40104 treft XWiki Platform-versies vóór 16.10.16, 17.4.8 en 17.10.1. Het probleem ligt in REST API-eindpunten die beschikbare pagina's als onderdeel van de metadata voor database-lijst-eigenschappen weergeven. Op grote wiki's kan dit leiden tot een uitputting van resources. Het opvragen van /xwiki/rest/wikis/xwiki/spaces/AnnotationCode/pages/AnnotationConfig/objects/AnnotationCode.AnnotationConfig/0/properties kan overmatige geheugen- en verwerkingstijd verbruiken, wat de algehele prestaties van de platform negatief beïnvloedt.
Een aanvaller kan deze kwetsbaarheid uitbuiten door een kwaadwillige aanvraag naar het REST API-eindpunt te sturen. Hij kan de paginalijst gebruiken om de serverresources uit te putten, wat kan leiden tot een denial-of-service (DoS)-conditie. De kans op uitbuiting hangt af van de grootte van de wiki en de API-configuratie. Wiki's met een groot aantal pagina's zijn vatbaarder voor dit type aanval.
Organizations heavily reliant on XWiki Platform for knowledge management and collaboration are at risk, particularly those with large wikis and high user traffic. Shared hosting environments where multiple wikis reside on the same server are also at increased risk, as a successful attack on one wiki could impact others.
disclosure
Exploit Status
EPSS
0.05% (15% percentiel)
Om dit risico te beperken, upgrade naar een versie van XWiki die de correctie bevat. Versies 16.10.16, 17.4.8 en 17.10.1 hebben de oplossing al geïmplementeerd, namelijk het toepassen van de geconfigureerde querylimiet op de beschikbare waarden voor database-lijst-eigenschappen. Upgraden is de meest effectieve manier om uw XWiki-instantie te beschermen. Als een onmiddellijke upgrade niet mogelijk is, bewaak dan het gebruik van serverresources en beperk de toegang tot de getroffen eindpunten totdat de upgrade kan worden uitgevoerd.
Actualice XWiki Platform a la versión 16.10.16 o superior, 17.4.8 o superior, o 17.10.1 o superior para mitigar la vulnerabilidad de agotamiento de recursos en las API REST. La actualización corrige la falta de límites de consulta en las llamadas a la API que pueden agotar los recursos del servidor en wikis grandes. Consulte la documentación oficial de XWiki para obtener instrucciones detalladas de actualización.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Versies vóór 16.10.16, 17.4.8 en 17.10.1 zijn kwetsbaar voor deze kwetsbaarheid.
U kunt de XWiki-versie controleren door de platform-informatiepagina in de beheerdersinterface te bezoeken.
Als u niet onmiddellijk kunt upgraden, bewaak dan het gebruik van serverresources en beperk de toegang tot de getroffen eindpunten.
Momenteel zijn er geen specifieke tools om deze kwetsbaarheid te detecteren, maar regelmatige beveiligingsaudits worden aanbevolen.
Deze kwetsbaarheid kan leiden tot een denial-of-service (DoS) door de serverresources uit te putten.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.