Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en XWiki (CVE-2025-32970)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-601 Redireccionamiento de URL a sitio no confiable (Open Redirect)
Fecha de publicación:
30/04/2025
Última modificación:
13/05/2025

Descripción

XWiki es una plataforma wiki genérica. En las versiones 13.5-rc-1 y anteriores a la 15.10.13, 16.0.0-rc-1 y anteriores a la 16.4.4, y 16.5.0-rc-1 y anteriores a la 16.8.0, una vulnerabilidad de redirección abierta en el filtro de solicitud de conversión HTML permite a los atacantes construir URL en una instancia de XWiki que redirigen a cualquier URL. Este problema se ha corregido en las versiones 15.10.13, 16.4.4 y 16.8.0.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* 13.5 (incluyendo) 15.10.13 (excluyendo)
cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* 16.0.0 (incluyendo) 16.4.4 (excluyendo)
cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* 16.5.0 (incluyendo) 16.8.0 (excluyendo)
cpe:2.3:a:xwiki:xwiki:16.8.0:rc1:*:*:*:*:*:*