YesWiki vulnerável à exclusão arbitrária de arquivos autenticada

A exploração bem-sucedida desta vulnerabilidade permite que um usuário autenticado no YesWiki delete arquivos críticos no servidor. Isso pode levar à perda de dados importantes do wiki, como páginas, imagens e configurações. Além disso, o atacante pode usar essa capacidade para defacement do site, substituindo conteúdo legítimo por conteúdo malicioso. Em ambientes de contêiner, onde a configuração padrão do YesWiki é utilizada, a ausência de modificações pode expor arquivos sensíveis, como arquivos .php, a essa deleção arbitrária, ampliando o potencial de dano. A falta de restrições no sistema de arquivos significa que o atacante pode potencialmente comprometer a integridade de todo o servidor.

Organizations using YesWiki, particularly those with containerized deployments or shared hosting environments, are at risk. Legacy configurations with weak authentication or overly permissive file permissions are especially vulnerable. Users relying on YesWiki for critical documentation or knowledge management should prioritize patching.

• php: Examine web server access logs for requests to the filemanager endpoint with suspicious parameters that could indicate file deletion attempts. Look for patterns like ?file=../../../../etc/passwd.

grep -i 'file=../../' /var/log/apache2/access.log

• linux / server: Monitor FPM user processes for unexpected file activity. Use lsof to identify which processes have open files that are being deleted.

lsof -u www-data | grep deleted

• generic web: Check response headers for unusual content types or error messages after attempting to access or delete files through the filemanager. Look for 403 Forbidden errors or unexpected file listings.

1. 2025-01-21Disclosure

   disclosure

1. Reservado2025-01-16
2. Publicada2025-01-21
3. Modificada2025-02-12
4. EPSS atualizado2026-04-02

A mitigação primária para CVE-2025-24019 é a atualização imediata para a versão 4.5.0 do YesWiki, que corrige a vulnerabilidade. Se a atualização não for possível no momento, considere implementar workarounds. Restringir as permissões do usuário FPM para limitar o acesso aos arquivos do sistema é crucial. Implementar regras no Web Application Firewall (WAF) para bloquear solicitações suspeitas ao gerenciador de arquivos pode ajudar a prevenir a exploração. Monitore os logs do servidor em busca de tentativas de acesso ou deleção de arquivos não autorizadas. A verificação após a atualização deve confirmar que o gerenciador de arquivos não permite mais a deleção de arquivos fora do escopo esperado.