CVE-2025-51990

Nome do Software Vulnerável e Versões Afetadas: Versões do XWiki até a 17.3.0

Descrição: O XWiki até a versão 17.3.0 é afetado por múltiplas vulnerabilidades de Cross-Site Scripting (XSS) Armazenado na interface de Administração, especificamente na seção de Apresentação do painel de Preferências Globais. Um administrador autenticado pode injetar payloads arbitrários de JavaScript nos campos HTTP Meta Info, Footer Copyright e Footer Version. Essas entradas são armazenadas e subsequentemente renderizadas sem a devida codificação de saída ou sanitização em páginas públicas, levando à execução persistente de scripts injetados no contexto do navegador de qualquer visitante, incluindo usuários autenticados e não autenticados. A exploração bem-sucedida pode levar ao sequestro de sessão, roubo de credenciais, ações não autorizadas ou comprometimento adicional da aplicação através de ataques do lado do cliente.

Recomendações: Deve-se usar a versão 17.4.0 ou posterior do XWiki. Como solução temporária, restrinja o acesso à interface de Administração para minimizar o risco de exploração. Evite usar payloads de JavaScript nos campos HTTP Meta Info, Footer Copyright e Footer Version.