Dies Bundesamt zu Händen Sicherheit in dieser Informationstechnik (BSI) hat am 20.02.2025 eine Sicherheitswarnung zu Händen xwiki gemeldet. Betroffen von dieser Sicherheitslücke sind die Betriebssysteme UNIX und Windows sowie dasjenige Produkt Open Source xwiki.

Die neuesten Hersteller-Empfehlungen zum Thema Updates, Workarounds und Sicherheitspatches zu Händen solche Sicherheitslücke finden Sie hier: XWiki Programmierfehler XWIKI-22149 (Stand: 20.02.2025). Weitere nützliche Quellen werden weiter unten in diesem Beitrag aufgeführt.

Sicherheitshinweis zu Händen xwiki – Risiko: hoch

Risikostufe: 4 (hoch)
CVSS Kusine Score: 9,8
CVSS Zeitlich Score: 8,8
Remoteangriff: Ja

Zur Einschätzung dieser Verwundbarkeit von Computersystemen wird dasjenige Common Vulnerability Scoring System (CVSS) angewandt. Dieser CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken uff Sockel verschiedener Kriterien miteinander zu vergleichen, um eine darauf aufbauende Prioritätenliste zur Geleitwort von Gegenmaßnahmen zu erstellen. Für jedes die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „unbequem“ verwendet. Dieser Kusine Score bewertet die Voraussetzungen zu Händen zusammensetzen Sturm (u.a. Authentifizierung, Kompliziertheit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Zeitlich Score fließen zusätzlich die Zeit veränderbare Rahmenbedingungen in die Ordnung ein. Dieser Schweregrad dieser hier behandelten Schwachstelle wird nachdem dem CVSS mit einem Kusine Score von 9,8 denn „hoch“ eingestuft.

xwiki Programmierfehler: Schwachstelle ermöglicht Codeausführung

XWiki ist eine Open-Source-Wikiwiki-Software-Plattform, zu Händen die Erstellung und Verwaltung von Wikis und Knowledge-Management-Systemen

Ein entfernter, anonymer Angreifer kann eine Schwachstelle in xwiki ausnutzen, um beliebigen Programmcode auszuführen.

Klassifiziert wurde die Schwachstelle mithilfe des CVE-Bezeichnungssystems (Common Vulnerabilities and Exposures) durch die individuelle Seriennummer CVE-2025-24893.

Von dieser xwiki-Sicherheitslücke betroffene Systeme im Syllabus

Betriebssysteme
UNIX, Windows

Produkte
Open Source xwiki <15.10.11 (cpe:/a:open_source:xwiki)
Open Source xwiki 15.10.11 (cpe:/a:open_source:xwiki)
Open Source xwiki <16.5.0RC1 (cpe:/a:open_source:xwiki)
Open Source xwiki 16.5.0RC1 (cpe:/a:open_source:xwiki)

Allgemeine Empfehlungen zum Umgang mit IT-Sicherheitslücken

1. Benützer dieser betroffenen Systeme sollten solche uff dem aktuellsten Stand halten. Hersteller sind zwischen Bekanntwerden von Sicherheitslücken dazu angehalten, solche schnellstmöglich durch Evolution eines Patches oder eines Workarounds zu beheben. Sollten Sicherheitspatches verfügbar sein, installieren Sie solche zeitnah.
2. Um Rat fragen Sie zu Informationszwecken die im nächsten Unvollendetes aufgeführten Quellen. X-mal enthalten solche weiterführende Informationen zur aktuellsten Version dieser betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
3. Wenden Sie sich zwischen weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten die genannten Quellen regelmäßig daraufhin prüfen, ob ein neues Sicherheitsupdate zur Verfügung steht.

Quellen zu Updates, Patches und Workarounds

An dieser Stelle Ergehen sich weiterführende Sinister mit Informationen zusätzlich Programmierfehler-Reports, Security-Fixes und Workarounds.

XWiki Programmierfehler XWIKI-22149 vom 2025-02-20 (20.02.2025)
Weitere Informationen finden Sie unter: https://jira.xwiki.org/browse/XWIKI-22149

GitHub Advisory Database vom 2025-02-20 (20.02.2025)
Weitere Informationen finden Sie unter: https://github.com/advisories/GHSA-rr6p-3pfg-562j

Versionshistorie dieser Sicherheitswarnung

Dies ist die initiale Steckdose des vorliegenden IT-Sicherheitshinweises zu Händen xwiki. Sollten Updates bekanntgegeben werden, wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie mithilfe dieser folgenden Versionshistorie reproduzieren.

20.02.2025 – Initiale Steckdose

+++ Redaktioneller Index: Dieser Text wurde uff Sockel aktueller BSI-Information generiert und wird je nachdem Warnlage datengetrieben aktualisiert. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Hinterher gehen Sie News.de schon zwischen Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Kabel zur Redaktion.
kns/roj/news.de