CVE-2025-46557

Nome do Software Vulnerável e Versões Afetadas Versões do XWiki 15.3-rc-1 até 15.10.14 Versões do XWiki 16.0.0-rc-1 até 16.4.6 Versões do XWiki 16.5.0-rc-1 até 16.10.0-rc-1

Descrição A vulnerabilidade permite que um usuário com acesso a páginas no espaço XWiki acesse a página XWiki.Authentication.Administration e alternar para outro autenticador instalado, a menos que um autenticador esteja configurado no xwiki.cfg. Por padrão, apenas o Autenticador Padrão do XWiki está disponível; portanto, se nenhuma extensão de autenticador foi instalada, o impacto é limitado. Nos casos em que um autenticador SSO está instalado e em uso, o pior que um atacante pode fazer é interromper a autenticação alternando de volta para o autenticador padrão, pois é impossível fazer login como um usuário sem uma senha armazenada.

Recomendações Para as versões do XWiki 15.3-rc-1 até 15.10.14, atualize para a versão 15.10.14 ou posterior. Para as versões do XWiki 16.0.0-rc-1 até 16.4.6, atualize para a versão 16.4.6 ou posterior. Para as versões do XWiki 16.5.0-rc-1 até 16.10.0-rc-1, atualize para a versão 16.10.0-rc-1 ou posterior. Como medida de contorno temporária, considere configurar um autenticador no xwiki.cfg para impedir a alternância para outro autenticador.