CVE-2025-51991

Nome do Software Vulnerável e Versões Afetadas: Versões do XWiki até a 17.3.0

Descrição: O XWiki está vulnerável a Injeção de Template no Lado do Servidor (SSTI) na interface de Administração, especificamente no campo HTTP Meta Info da seção de Apresentação das Preferências Globais. Um administrador autenticado pode injetar código de template Apache Velocity manipulado, que é renderizado no lado do servidor sem validação adequada ou sandboxing. Isso possibilita a execução de lógica de template arbitrária, potencialmente expondo informações internas do servidor ou levando a uma exploração mais ampla, como execução remota de código ou vazamento de dados sensíveis. A vulnerabilidade reside no tratamento inadequado da renderização dinâmica de templates em campos de configuração fornecidos pelo usuário.

Recomendações: Versões anteriores à 17.3.0 são afetadas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.