Vulnerabilidad en XWiki (CVE-2025-49587)
Gravedad CVSS v4.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
13/06/2025
Última modificación:
03/09/2025
Descripción
XWiki es una plataforma de software wiki de código abierto. Cuando un usuario sin permisos de script crea un documento con un objeto XWiki.Notifications.Code.NotificationDisplayerClass y posteriormente un administrador lo edita y lo guarda, el contenido posiblemente malicioso de dicho objeto se muestra como HTML sin formato, lo que permite ataques XSS. Mientras el visualizador de notificaciones ejecuta Velocity, el analizador genérico existente ya advierte a los administradores antes de editar el código de Velocity. Tenga en cuenta que las advertencias antes de editar documentos con propiedades peligrosas solo se introdujeron en XWiki 15.9; antes de esa versión, este era un problema conocido y la recomendación era simplemente tener cuidado. Esta vulnerabilidad se ha corregido en XWiki 15.10.16, 16.4.7 y 16.10.2 añadiendo un analizador de permisos requerido que advierte al administrador sobre el posible código malicioso antes de editar.
Impacto
Puntuación base 4.0
6.40
Gravedad 4.0
MEDIA
Puntuación base 3.x
8.00
Gravedad 3.x
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 15.9 (incluyendo) | 15.10.16 (excluyendo) |
cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 16.0.0 (incluyendo) | 16.4.7 (excluyendo) |
cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* | 16.5.0 (incluyendo) | 16.10.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página