CVE-2025-49587

Nome do Software Vulnerável e Versões Afetadas Versões do XWiki anteriores a 15.10.16 Versões do XWiki anteriores a 16.4.7 Versões do XWiki anteriores a 16.10.2

Descrição O problema surge quando um usuário sem direitos de script cria um documento contendo um objeto XWiki.Notifications.Code.NotificationDisplayerClass. Se um administrador editar e salvar este documento posteriormente, o conteúdo potencialmente malicioso do objeto é exibido como HTML bruto, permitindo ataques de cross-site scripting (XSS). O exibidor de notificações executa código Velocity e, embora um analisador genérico alerte os administradores sobre a edição de código Velocity, avisos para editar documentos com propriedades perigosas foram introduzidos apenas no XWiki 15.9.

Recomendações Para versões anteriores a 15.10.16, atualize para a versão 15.10.16 ou posterior. Para versões anteriores a 16.4.7, atualize para a versão 16.4.7 ou posterior. Para versões anteriores a 16.10.2, atualize para a versão 16.10.2 ou posterior. Como solução temporária, considere ter cautela ao editar documentos com código potencialmente malicioso, especialmente aqueles contendo objetos XWiki.Notifications.Code.NotificationDisplayerClass, até que uma correção seja aplicada.