CVE-2025-46348

CRÍTIC (10,0)

CVSS3: 8,3

YesWiki és un sistema wiki escrit en PHP. Abans de la versió 4.5.4, la sol·licitud per iniciar una còpia de seguretat del lloc es podia fer i descarregar sense autenticació. Els arxius es creen amb un nom de fitxer predictible, de manera que un usuari maliciós podria crear i descarregar un arxiu sense autenticar-se. Això podria provocar que un atacant maliciós fes nombroses sol·licituds per crear arxius i omplir el sistema de fitxers, o bé descarregant l’arxiu que conté informació confidencial del lloc. Aquest problema s’ha corregit a la versió 4.5.4.

Sistemes Afectats

• YesWiki yeswiki – < 4.5.4

Remediació
No hi ha cap recurs disponible a partir del 29 d’abril del 2025.

Referències

• https://github.com/YesWiki/yeswiki/security/advisories/GHSA-wc9g-6j9w-hr95
• https://github.com/YesWiki/yeswiki/commit/0d4efc880a727599fa4f6d7a64cc967afe475530