CVE-2025-23025

Nome do Software Vulnerável e Versões Afetadas Versões do XWiki Platform anteriores a 15.10.2 Versões do XWiki Platform anteriores a 16.4.1 Versões do XWiki Platform anteriores a 16.6.0-rc-1

Descrição Um usuário com apenas direito de edição pode ingressar em uma sessão de edição em tempo real onde outros possuem direitos de acesso de script ou programação. Este usuário pode então inserir macros de renderização de script que são executadas para aqueles usuários na sessão em tempo real que possuem direitos de script ou programação. Os scripts inseridos podem ser usados para obter mais direitos de acesso.

Recomendações Para versões do XWiki Platform anteriores a 15.10.2, atualize para a versão 15.10.2 ou posterior. Para versões do XWiki Platform anteriores a 16.4.1, atualize para a versão 16.4.1 ou posterior. Para versões do XWiki Platform anteriores a 16.6.0-rc-1, atualize para a versão 16.6.0-rc-1 ou posterior. Como solução temporária, considere desativar o plugin xwiki-realtime do CKEditor na seção de administração do editor WYSIWYG ou desinstalar a extensão Realtime WYSIWYG Editor (org.xwiki.platform:xwiki-platform-realtime-wysiwyg-ui).