CVE-2025-32969

Nome do Software Vulnerável e Versões Afetadas Versões do XWiki 1.8 até 15.10.15 Versões do XWiki 16.4.0 até 16.4.5 Versões do XWiki 16.10.0 até 16.10.0

Descrição O XWiki é uma plataforma wiki genérica. Nas versões afetadas, é possível que um usuário remoto não autenticado escape do contexto de execução HQL e realize uma injeção de SQL às cegas para executar comandos SQL arbitrários no backend do banco de dados. Isso pode ocorrer mesmo quando as opções "Impedir que usuários não registrados visualizem páginas, independentemente das permissões da página" e "Impedir que usuários não registrados editem páginas, independentemente das permissões da página" estiverem habilitadas. Dependendo do backend do banco de dados utilizado, o atacante pode ser capaz de obter informações confidenciais, como hashes de senha do banco de dados, e executar consultas UPDATE/INSERT/DELETE.

Recomendações Para as versões do XWiki 1.8 até 15.10.15, atualize para a versão 15.10.16. Para as versões do XWiki 16.4.0 até 16.4.5, atualize para a versão 16.4.6. Para as versões do XWiki 16.10.0 até 16.10.0, atualize para a versão 16.10.1.