PT-2025-29524 · Xwiki · Xwiki
René De Sain
+1
·
Publicado
2025-07-14
·
Atualizado
2025-07-29
·
CVE-2025-53836
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas:
Versões do XWiki 4.2-milestone-1 até 13.10.10
Versões do XWiki 14.4.0 até 14.4.6
Versões do XWiki 14.10.0 até 14.9.9
Descrição:
O XWiki Rendering é um sistema que converte entrada textual em diferentes sintaxes. Existe uma falha na qual o analisador de conteúdo de macro padrão não aplica corretamente as restrições ao executar macros aninhadas. Isso permite a execução de macros normalmente proibidas no modo restrito, especificamente macros de script. As macros de cache e gráfico incluídas no XWiki são afetadas por este problema.
Recomendações:
Versões do XWiki 4.2-milestone-1 até 13.10.10: Atualize para a versão 13.10.11 ou posterior.
Versões do XWiki 14.4.0 até 14.4.6: Atualize para a versão 14.4.7 ou posterior.
Versões do XWiki 14.10.0 até 14.9.9: Atualize para a versão 14.10 ou posterior.
Como medida temporária, desative comentários para usuários não confiáveis.
Exploit
Correção
RCE
Incorrect Authorization
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Xwiki