Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el Servlet del servidor de aplicaciones en XWiki (CVE-2020-15252)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-94 Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
16/10/2020
Última modificación:
17/06/2026

Descripción

En XWiki versiones anteriores a 2.5 y 11.10.6, cualquier usuario con derecho de SCRIPT (EDITA justo antes de XWiki versión 7.4) puede obtener acceso al contexto de Servlet del servidor de aplicaciones que contiene herramientas que permiten crear instancias de objetos Java arbitrarios e invocar métodos que pueden conllevar a una ejecución de código arbitraria. Esto está parcheado en XWiki versión 12.5 y XWiki versión 11.10.6

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* 11.10.6 (excluyendo)
cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:* 12.0 (incluyendo) 12.5 (excluyendo)