Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en XWiki (CVE-2025-49585)

Gravedad CVSS v4.0:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
13/06/2025
Última modificación:
03/09/2025

Descripción

XWiki es una plataforma wiki genérica. En versiones anteriores a la 15.10.16, de la 16.0.0-rc-1 a la 16.4.6 y de la 16.5.0-rc-1 a la 16.10.1, cuando un atacante sin permisos de script o programación crea una definición de XClass en XWiki (requiere permisos de edición), y ese mismo documento es editado posteriormente por un usuario con permisos de script, administrador o programación, se podría ejecutar código malicioso con los permisos del usuario editor sin previo aviso. Esto afecta en particular al código de visualización personalizado, el script de propiedades calculadas y las consultas en las propiedades de la lista de bases de datos. Tenga en cuenta que las advertencias antes de editar documentos con propiedades peligrosas solo se introdujeron en XWiki 15.9; antes de esa versión, este era un problema conocido y la recomendación era simplemente tener cuidado. Esto se ha corregido en XWiki 16.10.2, 16.4.7 y 15.10.16 añadiendo un análisis de las respectivas propiedades de XClass.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* 15.10.16 (excluyendo)
cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* 16.0.0 (incluyendo) 16.4.7 (excluyendo)
cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* 16.5.0 (incluyendo) 16.10.2 (excluyendo)