Vulnerabilidad en XWiki Platform (CVE-2025-23025)

XWiki Platform es una plataforma wiki genérica que ofrece servicios de tiempo de ejecución para aplicaciones creado sobre ella. NOTA: La extensión Realtime WYSIWYG Editor era **experimental**, y por lo tanto **no recomendada**, en las versiones afectadas por esta vulnerabilidad. Se ha habilitado de forma predeterminada, y por lo tanto se recomienda, a partir de XWiki 16.9.0. Un usuario con solo **derecho de edición** puede unirse a una sesión de edición en tiempo real en la que otros, que ya estaban allí o que se unirán más tarde, tienen **derechos de acceso de MASK15**** o **programación**. Este usuario puede insertar Script macros de renderizado** que se ejecutan para esos usuarios en la sesión en tiempo real mediante el script MASK13** o los derechos de programación. Los Scripts insertados se pueden utilizar para obtener más derechos de acceso. Esta vulnerabilidad se ha corregido en XWiki 15.10.2, 16.4.1 y 16.6.0-rc-1. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar pueden deshabilitar la edición WYSIWYG en tiempo real deshabilitando el complemento CKEditor ``xwiki-realtime`` desde la sección de administración del editor WYSIWYG o desinstalar la extensión Realtime WYSIWYG Editor (org.xwiki.platform:xwiki-platform-realtime-wysiwyg-ui).