Vulnerabilidad en XWiki (CVE-2025-49584)

Gravedad CVSS v4.0:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

13/06/2025

Última modificación:

16/06/2025

Descripción

XWiki es una plataforma wiki genérica. En las versiones 10.9 a 16.4.6, 16.5.0-rc-1 a 16.10.2 y 17.0.0-rc-1 de la plataforma XWiki, se puede acceder al título de cada página cuya referencia se conoce a través de la API REST siempre que se pueda acceder a una XClass con una propiedad de página; este es el valor predeterminado para una instalación de XWiki. Esto permite a un atacante obtener los títulos de las páginas cuya referencia se conoce, un título por solicitud. Esto no afecta a las wikis completamente privadas, ya que el endpoint REST verifica los derechos de acceso en la definición de la XClass. El impacto en la confidencialidad depende de la estrategia para los nombres de página. Por defecto, los nombres de página coinciden con el título, por lo que el impacto debería ser bajo; sin embargo, si los nombres de página se ofuscan intencionalmente porque los títulos son sensibles, el impacto podría ser alto. Esto se ha solucionado en XWiki 16.4.7, 16.10.3 y 17.0.0 agregando comprobaciones de control de acceso antes de obtener el título de cualquier página.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 8.70 ALTA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

8.70

Gravedad 4.0

ALTA

Vulnerabilidad en XWiki (CVE-2025-49584)

Descripción

Impacto

Referencias a soluciones, herramientas e información