CVE-2025-52472

Nome do Software Vulnerável e Versões Afetadas Versões 4.3-milestone-1 a 16.10.8 do XWiki Platform Versões 17.4.0 a 17.4.1 do XWiki Platform Versão 17.5.0 do XWiki Platform

Descrição O XWiki Platform, uma plataforma wiki genérica, contém uma falha na URL de pesquisa REST. O parâmetro orderField é suscetível à injeção de HQL. O valor fornecido para este parâmetro é incluído duas vezes na consulta, exigindo manipulação cuidadosa para sua exploração. Especificamente, envolver o segmento da consulta entre as duas instâncias do campo entre aspas simples pode contornar as restrições, mas a consulta deve permanecer válida com o parâmetro aparecendo duas vezes. Este problema afeta versões a partir da 4.3-milestone-1 e é corrigido nas versões 16.10.9, 17.4.2 e 17.5.0. O endpoint da API envolvido é a URL de pesquisa REST. O parâmetro vulnerável é orderField.

Recomendações Atualize para a versão 16.10.9 ou posterior do XWiki Platform. Atualize para a versão 17.4.2 ou posterior do XWiki Platform. Atualize para a versão 17.5.0 ou posterior do XWiki Platform.