CSIRT Toscana XWiki Platform: PoC pubblico per lo sfruttamento della CVE-2026-26000 (AL06/260220/CSIRT-ITA)
Data:
20 Febbraio 2026
Impatto Sistemico
Alto (74.48)
Sintesi
Disponibile un Proof of Concept (PoC) per lo sfruttamento della CVE-2026-26000 – presente in XWiki Platform, piattaforma collaborativa open source scritta in Java. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato di indurre l’utente a visitare una pagina Web dannosa opportunamente predisposta.
Tipologia
- URL Redirection
- Tampering
Descrizione e potenziali impatti
È stato recentemente reso pubblico un Proof of Concept (PoC) per la CVE-2026-26000 – di tipo “ CSS Injection ” e con score CVSS v3.x pari a 6.1 – presente in XWiki Platform, piattaforma collaborativa open source scritta in Java.
In dettaglio, la vulnerabilità consentirebbe ad un utente malintenzionato di iniettare un elemento CSS , opportunamente configurato, manipolando il comportamento della pagina e dirottando l’interazione dell’utente.
Prodotti e/o versioni affette
XWiki Platform
- versioni precedenti la 17.9.0, 17.4.6 e 16.10.13 (escluse)
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.
Riferimenti
- https://securityboulevard.com/2026/02/disclosure-xwiki-css-injection-cve-2026-26000/
- https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-74rh-c5rh-88vg
- https://github.com/xwiki/xwiki-platform/releases/tag/xwiki-platform-17.4.6
CVE
| CVE-ID |
|---|
| CVE-2026-26000 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 20-02-2026 | 20/02/2026 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
20 Febbraio 2026, 11:26