PT-2025-36917 · Xwiki · Xwiki Remote Macros

Michitux

Publicado

2025-09-09

Atualizado

2025-09-17

CVE-2025-55727

CVSS v3.1

Crítica

Vetor

AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Nome do Software Vulnerável e Versões Afetadas: XWiki Remote Macros versões 1.0 a 1.26.5

Descrição: O XWiki Remote Macros fornece macros de renderização do XWiki usadas para migração de conteúdo do Confluence. A falta de um mecanismo de escape no parâmetro width dentro da macro de coluna permite a execução remota de código. Isso afeta usuários que podem editar páginas ou acessar o conversor CKEditor. O parâmetro width sem escape permite a injeção de sintaxe XWiki, potencialmente permitindo a execução de código Velocity como o administrador do wiki ou um usuário com direitos de programação.

Recomendações: Atualize para a versão 1.26.5 ou posterior.

Exploit

Correção

RCE

Code Injection

Eval Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-94CWE-95

Identificadores relacionados

CVE-2025-55727

GHSA-HXQP-983C-M8H9

Produtos afetados

Xwiki Remote Macros

PT-2025-36917 · Xwiki · Xwiki Remote Macros

CVE-2025-55727

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 9