Vulnerabilidad en XWiki (CVE-2025-32972)
Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-285
Autorización incorrecta
Fecha de publicación:
30/04/2025
Última modificación:
13/05/2025
Descripción
XWiki es una plataforma wiki genérica. En versiones desde la 6.1-milestone-1 hasta anteriores a la 15.10.12, desde la 16.0.0-rc-1 hasta anteriores a la 16.4.3, y desde la 16.5.0-rc-1 hasta anteriores a la 16.8.0-rc-1, la API de scripts del compilador LESS en XWiki verifica incorrectamente los permisos al llamar a la API de limpieza de caché, lo que permite limpiar la caché sin tener permisos de programación. El único impacto es una ralentización en la ejecución de XWiki al rellenar las cachés. Dado que esta vulnerabilidad requiere permisos de script para explotarse, y estos permisos ya permiten la ejecución ilimitada de scripts, el impacto adicional es bajo. Este problema se ha corregido en las versiones 15.10.12, 16.4.3 y 16.8.0-rc-1.
Impacto
Puntuación base 3.x
2.70
Gravedad 3.x
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 6.2 (incluyendo) | 15.10.12 (excluyendo) |
| cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 16.0.0 (incluyendo) | 16.4.3 (excluyendo) |
| cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 16.5.0 (incluyendo) | 16.8.0 (excluyendo) |
| cpe:2.3:a:xwiki:xwiki:6.1:-:*:*:*:*:*:* | ||
| cpe:2.3:a:xwiki:xwiki:6.1:milestone1:*:*:*:*:*:* | ||
| cpe:2.3:a:xwiki:xwiki:6.1:milestone2:*:*:*:*:*:* | ||
| cpe:2.3:a:xwiki:xwiki:6.1:rc1:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página