CVE-2025-65090：CWE-200：xwiki-contrib 项目 macro-fullcalendar 组件中敏感信息对未授权参与者的暴露

严重性：中 类型：漏洞

CVE-2025-65090

XWiki Full Calendar 宏在日历上显示来自维基的对象。在 2.4.6 版本之前，有权查看 Calendar.JSONService 页面的用户（包括访客用户）可以利用此数据泄露漏洞访问数据库信息（密码除外）。此问题已在 2.4.6 版本中修复。

AI 分析

技术摘要

被识别为 CVE-2025-65090 的漏洞影响 xwiki-contrib 项目的 macro-fullcalendar 组件，特别是 2.4.6 之前的版本。该组件在 XWiki 中集成日历功能，在日历界面上显示维基对象。该漏洞的产生是因为能够查看 Calendar.JSONService 页面的用户（包括未经身份验证的访客用户）可以通过此服务访问敏感的数据库信息。虽然密码被排除在外，但数据库中存储的其他敏感数据可能被暴露，构成了归类于 CWE-200 的信息泄露漏洞。该漏洞可被远程利用，无需任何身份验证或用户交互，增加了其风险状况。CVSS v3.1 基础评分为 5.3，反映了中等的严重性，这主要是由于对机密性的影响，而不影响完整性或可用性。该漏洞于 2026 年 1 月公开披露，并已通过 macro-fullcalendar 的 2.4.6 版本修补得到解决。尚未有已知的在野利用报告，但易于利用和敏感信息的暴露使得及时修补至关重要。该漏洞的根本原因是 Calendar.JSONService 端点上的访问控制不足，允许未经授权的数据检索。

潜在影响

对于欧洲组织而言，此漏洞给使用 macro-fullcalendar 组件的 XWiki 部署带来了敏感信息泄露的风险。虽然密码不会暴露，但维基数据库中存储的其他机密数据可能被未经授权的方访问，可能导致信息泄露，从而助长进一步的攻击，如社会工程学或定向入侵。依赖 XWiki 进行协作、文档或知识管理的组织可能面临声誉损害、因未经授权的数据暴露而违反 GDPR 的合规问题，以及敏感业务信息泄露带来的运营风险。该漏洞的远程和无认证可利用性增加了机会性扫描和利用的可能性，特别是在可公开访问的 XWiki 实例中。对于数据保护要求严格的行业，如欧洲内的金融、医疗保健和政府机构，其影响更为显著。

缓解建议

主要且最有效的缓解措施是将 macro-fullcalendar 组件升级到 2.4.6 或更高版本，该版本已修补此漏洞。组织应审计其 XWiki 实例以识别受影响的版本，并相应地优先安排修补工作。如果无法立即升级，则通过实施网络级控制（如 IP 白名单或 VPN 访问）来限制对 Calendar.JSONService 页面的访问，并调整 XWiki 权限，仅将查看权限限制给受信任的已认证用户。此外，监控日志中针对 Calendar.JSONService 端点的异常访问模式，以检测潜在的利用尝试。定期进行安全评估，并确保维基中存储的敏感数据得到适当的分类和访问控制。采用针对易受攻击端点的可疑请求规则的 Web 应用程序防火墙（WAF）作为临时保护措施。

受影响国家

德国、法国、英国、荷兰、意大利、西班牙、瑞典

技术详情

• 数据版本: 5.2
• 分配者短名称: GitHub_M
• 日期保留: 2025-11-17T20:55:34.691Z
• Cvss 版本: 3.1
• 状态: 已发布
• 威胁 ID: 6961cb1719784dcf52be20d8
• 添加到数据库: 2026/1/10 上午 3:44:23
• 最后丰富: 2026/1/10 上午 3:59:05
• 最后更新: 2026/1/11 上午 1:08:34
• 浏览量: 15

来源: CVE 数据库 V5 发布时间: 2026年1月10日 星期六