Vulnerabilidad en XWiki (CVE-2025-32971)

XWiki es una plataforma wiki genérica. En las versiones desde la 4.5.1 hasta anteriores a la 15.10.13, desde la 16.0.0-rc-1 hasta anteriores a la 16.4.4, y desde la 16.5.0-rc-1 hasta anteriores a la 16.8.0-rc-1, el servicio de scripts de Solr no tiene en cuenta la pérdida de permisos de programación. El servicio de scripts de Solr, accesible a través de la API de scripts de XWiki, normalmente requiere la llamada a los permisos de programación. Debido al uso de una API incorrecta para la comprobación de permisos, no tiene en cuenta que los permisos de programación podrían haberse perdido al llamar a `$xcontext.dropPermissions()`. Si algún código depende de esto para la seguridad de ejecutar código de Velocity con un contexto de autor incorrecto, esto podría permitir que un usuario con permisos de script genere una alta carga al indexar documentos o los elimine temporalmente del índice de búsqueda. Este problema se ha solucionado en las versiones 15.10.13, 16.4.4 y 16.8.0-rc-1.