Vulnerabilidad en XWiki (CVE-2025-32974)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

30/04/2025

Última modificación:

13/05/2025

Descripción

XWiki es una plataforma wiki genérica. En las versiones 15.9-rc-1 y anteriores a la 15.10.8, y 16.0.0-rc-1 y anteriores a la 16.2.0, el análisis de permisos requeridos no considera las áreas de texto con el tipo de contenido predeterminado. Al editar una página, XWiki, desde la versión 15.9, advierte cuando hay contenido en la página, como una macro de script, que podría obtener más permisos debido a la edición. Este análisis no considera ciertos tipos de propiedades, lo que permite a un usuario introducir scripts maliciosos que se ejecutarán después de que un usuario con permisos de script, administrador o programación haya editado la página. Dicho script malicioso podría afectar la confidencialidad, la integridad y la disponibilidad de toda la instalación de XWiki. Este problema se ha corregido en las versiones 15.10.8 y 16.2.0.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.00 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.00

Gravedad 3.x

CRÍTICA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:xwiki:xwiki::::::::	15.9 (incluyendo)	15.10.8 (excluyendo)
cpe:2.3:a:xwiki:xwiki::::::::	16.0.0 (incluyendo)	16.2.0 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Vulnerabilidad en XWiki (CVE-2025-32974)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información