PT-2025-50550 · Xwiki · Xwiki
Highmichitux
·
Publicado
2025-07-14
·
Atualizado
2025-12-19
·
CVE-2025-66474
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do Software Vulnerável e Versões Afetadas
Versões do XWiki 16.10.9 e anteriores, 17.0.0-rc-1 até 17.4.2, e 17.5.0-rc-1 até 17.5.0
Descrição
O sistema de renderização do XWiki carece de proteção suficiente contra injeção de {{/html}}. Isso permite que atacantes realizem execução remota de código (RCE). Qualquer usuário com a capacidade de editar seu perfil ou outros documentos pode executar macros de script arbitrárias, incluindo macros Groovy e Python. Isso habilita acesso irrestrito de leitura e escrita a todo o conteúdo do wiki.
Recomendações
Atualize para o XWiki versão 16.10.10 ou posterior.
Atualize para o XWiki versão 17.4.3 ou posterior.
Atualize para o XWiki versão 17.6.0-rc-1 ou posterior.
Exploit
Correção
RCE
Code Injection
Eval Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Xwiki