Vulnerabilidad en YesWiki (CVE-2025-24019)

YesWiki es un wiki sistema escrito en PHP. En versiones hasta incluida 4.4.5, es posible que cualquier usuario autenticado, mediante el uso del administrador de archivos, elimine cualquier archivo propiedad del usuario que ejecuta el Administrador de procesos FastCGI (FPM) en el host sin ninguna limitación en el alcance del sistema de archivos. Esta vulnerabilidad permite a cualquier usuario autenticado eliminar contenido del Wiki de forma arbitraria, lo que resulta en la pérdida parcial de datos y la desfiguración/deterioro del sitio web. En el contexto de una instalación de contenedor de YesWiki sin ninguna modificación, los archivos `yeswiki` (por ejemplo .php) no son propiedad del mismo usuario (superusuario) que el que ejecuta el proceso FPM (www-data). Sin embargo, en una instalación estándar, www-data también puede ser el propietario de los archivos PHP, lo que permite a un usuario malintencionado cortar por completo el acceso al wiki eliminando todos los archivos PHP importantes (como index.php o los archivos principales de YesWiki). La versión 4.5.0 contiene un parche para este problema.