Vulnerabilidad en XWiki (CVE-2025-32973)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
30/04/2025
Última modificación:
13/05/2025
Descripción
XWiki es una plataforma wiki genérica. En las versiones 15.9-rc-1 y anteriores a la 15.10.12, 16.0.0-rc-1 y anteriores a la 16.4.3, y 16.5.0-rc-1 y anteriores a la 16.8.0-rc-1, cuando un usuario con permisos de programación edita un documento en XWiki que fue editado por última vez por un usuario sin permisos de programación y que contiene un objeto XWiki.ComponentClass, no se muestra ninguna advertencia que indique que se otorgarán permisos de programación a este objeto. Un atacante que haya creado un objeto malicioso de este tipo podría usarlo para obtener permisos de programación en la wiki. Para ello, el atacante debe tener permisos de edición en al menos una página para colocar este objeto y, a continuación, conseguir que un usuario administrador edite ese documento. Este problema se ha corregido en las versiones 15.10.12, 16.4.3 y 16.8.0-rc-1.
Impacto
Puntuación base 3.x
9.00
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 15.9 (incluyendo) | 15.10.12 (excluyendo) |
cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 16.0.0 (incluyendo) | 16.4.3 (excluyendo) |
cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 16.5.0 (incluyendo) | 16.8.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página