漏洞详情
包管理器: Maven 受影响组件: org.xwiki.contrib:macro-fullcalendar-pom
受影响版本: <= 2.4.5 已修复版本: 2.4.6
漏洞描述
影响
任何对Calendar.JSONService页面拥有查看权限的用户(包括访客)均可利用此漏洞访问数据库信息,但密码除外。
临时解决方案
删除Calendar.JSONService页面。但这会破坏某些功能。
参考信息
- Jira问题: FULLCAL-82: Calendar.JSONService exposes emails of all users
- 了解更多: 如有疑问或评论,可在Jira XWiki.org上提交问题,或通过安全邮件列表联系我们。
参考链接
- GHSA ID: GHSA-637h-ch24-xp9m
- 代码提交: xwiki-contrib/macro-fullcalendar@25bc14c
- 问题追踪: https://jira.xwiki.org/browse/FULLCAL-82
安全评分
严重等级: 中等 CVSS总体评分: 5.3 / 10
CVSS v3 基础指标
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 无
- 用户交互: 无
- 范围: 未改变
- 机密性影响: 低
- 完整性影响: 无
- 可用性影响: 无
CVSS向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
EPSS 分数
0.027%(第7百分位) 此分数估计了该漏洞在未来30天内被利用的概率。
弱点类型
CWE ID: CWE-200 描述: 向未授权参与者暴露敏感信息 产品将敏感信息暴露给未明确授权访问该信息的参与者。
标识符
- CVE ID: CVE-2025-65090
- GHSA ID: GHSA-637h-ch24-xp9m
源代码仓库: xwiki-contrib/macro-fullcalendar