Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en XWiki (CVE-2025-49582)

Gravedad CVSS v4.0:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
13/06/2025
Última modificación:
03/09/2025

Descripción

XWiki es una plataforma wiki genérica. Al editar contenido que contiene macros "peligrosas", como macros de script maliciosas creadas por un usuario con menos permisos, XWiki advierte sobre su ejecución desde la versión 15.9RC1 de XWiki. Estos analizadores de permisos obligatorios que activan estas advertencias están incompletos, lo que permite a un atacante ocultar contenido malicioso. Para la mayoría de las macros, los analizadores existentes no consideran los parámetros que no están en minúsculas. Además, la mayoría de los parámetros de macro que pueden contener sintaxis de XWiki, como los títulos de los cuadros de información, no se analizaron en absoluto. De igual manera, los parámetros "fuente" de la macro de contenido y contexto no se analizaron, a pesar de que podrían contener sintaxis arbitraria de XWiki. En el peor de los casos, esto podría permitir que un usuario malicioso agregue macros de script maliciosas, como macros de Groovy o Python, a una página, que se ejecutan después de que otro usuario con conocimientos de programación edite la página, lo que permite la ejecución remota de código. Los analizadores de derechos necesarios se han hecho más robustos y ampliados para cubrir esos casos en XWiki 16.4.7, 16.10.3 y 17.0.0.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* 15.9 (incluyendo) 16.4.7 (excluyendo)
cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* 16.5.0 (incluyendo) 16.10.3 (excluyendo)
cpe:2.3:a:xwiki:xwiki:17.0.0:rc1:*:*:*:*:*:*