PT-2025-32000 · Xwiki · Xwiki Platform
Michael Hamann
·
Publicado
2025-01-23
·
Atualizado
2025-08-06
·
CVE-2025-54125
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do XWiki Platform de 1.1 a 16.4.6
Versões do XWiki Platform de 16.5.0-rc-1 a 16.10.4
Versões do XWiki Platform de 17.0.0-rc-1 a 17.1.0
Descrição
O XWiki Platform Legacy Old Core e o XWiki Platform Old Core são afetados por uma falha na qual a exportação XML de uma página, acessível a qualquer usuário com direitos de visualização ao adicionar
?xpage=xml à URL, inclui as propriedades password e email armazenadas em um documento – mesmo que essas propriedades não sejam explicitamente nomeadas password ou email.Recomendações
As versões do XWiki Platform anteriores à 16.4.7 devem ser atualizadas.
As versões do XWiki Platform anteriores à 16.10.5 devem ser atualizadas.
As versões do XWiki Platform anteriores à 17.2.0-rc-1 devem ser atualizadas.
Se a funcionalidade de exportação XML não for necessária, exclua o arquivo
templates/xml.vm do arquivo WAR implantado.Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Xwiki Platform