Vulnerabilidad en XWiki (CVE-2025-51991)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

20/08/2025

Última modificación:

11/09/2025

Descripción

XWiki, hasta la versión 17.3.0, es vulnerable a Server-Side Template Injection (SSTI) en la interfaz de Administración, específicamente en el campo HTTP Meta Info de la sección Presentación de Preferencias Globales. Un administrador autenticado puede inyectar código de plantilla Apache Velocity manipulado, el cual se procesa en el servidor sin la validación ni el entorno de pruebas adecuados. Esto permite la ejecución de lógica de plantilla arbitraria, lo que puede exponer información interna del servidor o, en ciertas configuraciones, provocar una explotación posterior, como la ejecución remota de código o la filtración de datos confidenciales. La vulnerabilidad reside en el manejo inadecuado de la renderización dinámica de plantillas dentro de los campos de configuración proporcionados por el usuario.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto