Vulnerabilidad en XWiki (CVE-2025-51990)

XWiki, hasta la versión 17.3.0, se ve afectado por múltiples vulnerabilidades de cross-site scripting (XSS) almacenado en la interfaz de Administración, específicamente en la sección Presentación del panel Preferencias globales. Un administrador autenticado puede inyectar payloads de JavaScript arbitrarios en los campos HTTP Meta Info, Footer Copyright y Footer Version. Estas entradas se almacenan y posteriormente se representan sin la codificación ni la depuración de salida adecuadas en páginas públicas. Como resultado, los scripts inyectados se ejecutan de forma persistente en el navegador de cualquier visitante de las instancias afectadas, tanto usuarios autenticados como no autenticados. No se requiere interacción del usuario más allá de visitar una página que incluya el contenido malicioso. Una explotación exitosa puede provocar secuestro de sesión, robo de credenciales, acciones no autorizadas mediante la ejecución de sesiones o un mayor riesgo de la aplicación mediante ataques del lado del cliente. Esta vulnerabilidad supone un riesgo significativo en cualquier implementación, especialmente en entornos compartidos o conectados a internet donde las credenciales del administrador pueden verse comprometidas.