CVE-2025-32968

Nome do Software Vulnerável e Versões Afetadas Versões do XWiki de 1.6-milestone-1 até 15.10.16 Versões do XWiki anteriores à 16.4.6 Versões do XWiki anteriores à 16.10.1

Descrição O problema permite que um usuário com a permissão SCRIPT escape do contexto de execução HQL e realize uma injeção SQL cega para executar comandos SQL arbitrários no backend do banco de dados. Dependendo do backend do banco de dados utilizado, o atacante pode ser capaz de obter informações confidenciais, como hashes de senha do banco de dados, bem como executar consultas UPDATE/INSERT/DELETE.

Recomendações Para as versões de 1.6-milestone-1 até 15.10.16, atualize para a versão 15.10.16 ou posterior. Para versões anteriores à 16.4.6, atualize para a versão 16.4.6 ou posterior. Para versões anteriores à 16.10.1, atualize para a versão 16.10.1 ou posterior. Como solução temporária, considere restringir a permissão SCRIPT para minimizar o risco de exploração.