CVE-2025-49581

Nome do Software Vulnerável e Versões Afetadas Versões do XWiki anteriores a 16.4.7 Versões do XWiki anteriores a 16.10.3 Versões do XWiki anteriores a 17.0.0

Descrição A vulnerabilidade permite que qualquer usuário com direitos de edição em uma página execute código, incluindo Groovy, Python e Velocity, com direitos de programação, definindo uma macro wiki. Isso pode conceder acesso total a toda a instalação do XWiki. O problema surge quando um parâmetro de macro wiki permite sintaxe wiki e seu valor padrão é executado com os direitos do autor do documento onde é utilizado. Isso pode ser explorado sobrescrevendo uma macro, como a macro 'children', permitindo macros de script arbitrários.

Recomendações Para versões anteriores a 16.4.7, atualize para a versão 16.4.7 ou posterior para garantir o gerenciamento adequado de direitos. Para versões anteriores a 16.10.3, atualize para a versão 16.10.3 ou posterior para garantir o gerenciamento adequado de direitos. Para versões anteriores a 17.0.0, atualize para a versão 17.0.0 ou posterior para garantir o gerenciamento adequado de direitos.