XWiki Platform: PoC pubblico per CVE-2026-26000

L’Agenzia per la Cybersicurezza Nazionale segnala la disponibilità di un Proof of Concept (PoC) pubblico per lo sfruttamento della vulnerabilità CVE-2026-26000 che interessa XWiki Platform, piattaforma collaborativa open source sviluppata in Java e ampiamente utilizzata per wiki e knowledge base aziendali. La vulnerabilità è classificata come CSS Injection (CVSS v3.1: 6.1 – gravità media) ma con un impatto sistemico valutato alto dai CSIRT, alla luce della facilità di sfruttamento e dei potenziali effetti sulle utenze interne.

Il difetto risiede nella gestione dei commenti: è possibile, infatti, iniettare codice CSS malevolo che trasforma l’intera pagina wiki in un’unica area cliccabile, reindirizzando l’utente verso siti esterni controllati dall’attaccante. L’attacco è riconducibile a clickjacking (CWE-1021) e può essere avviato anche da un attore non autenticato che abbia la possibilità di inserire commenti su pagine accessibili. Il vettore principale è di tipo “URL redirection / tampering”: basta indurre gli utenti a visitare la pagina compromessa e a interagire con l’interfaccia per attivare il reindirizzamento, con potenziali esiti di phishing, furto credenziali o ulteriore compromissione.

Sono vulnerabili le versioni di XWiki Platform precedenti alle release 17.9.0, 17.4.6 e 16.10.13, che introducono le correzioni necessarie alla sanitizzazione dell’input nei commenti. Le principali fonti di threat intelligence sottolineano che la disponibilità di un PoC abbassa significativamente la barriera tecnica per lo sfruttamento, aumentando la probabilità di attacchi opportunistici contro istanze esposte in Internet.

Le raccomandazioni operative prevedono:

• aggiornamento immediato alle versioni corrette o successive;
• verifica dell’esposizione di istanze XWiki verso l’esterno;
• eventuale disabilitazione o restrizione della funzionalità di commento per utenti non fidati;
• implementazione di adeguate Content Security Policy e monitoraggio dei log per individuare comportamenti anomali di reindirizzamento.

In contesti della PA e di infrastrutture critiche, la vulnerabilità va gestita con priorità, includendo scansioni mirate sul perimetro applicativo e verifica degli accessi verso domini sospetti.

Fonti: ACN, Securityboulevard, Miggo