PT-2025-36918 · Xwiki · Xwiki Remote Macros

Farcasut

Publicado

2025-09-09

Atualizado

2025-09-17

CVE-2025-55728

CVSS v3.1

Crítica

Vetor

AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Nome do Software Vulnerável e Versões Afetadas: XWiki Remote Macros versões 1.0 a 1.26.5

Descrição: O XWiki Remote Macros fornece macros de renderização do XWiki utilizadas para migração de conteúdo do Confluence. A falta de escape no parâmetro classes dentro da macro panel permite a execução remota de código. Isso afeta qualquer usuário com permissões de edição de página, pois o parâmetro classes é utilizado sem o escape adequado na sintaxe XWiki, possibilitando a injeção de sintaxe XWiki.

Recomendações: Atualize para a versão 1.26.5 ou posterior.

Exploit

Correção

RCE

Code Injection

Eval Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-94CWE-95

Identificadores relacionados

CVE-2025-55728

GHSA-48F4-H726-74P5

Produtos afetados

Xwiki Remote Macros

PT-2025-36918 · Xwiki · Xwiki Remote Macros

CVE-2025-55728

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 10