El renderitzat de XWiki és vulnerable als atacs RCE quan processa macros imbricades.

ALERTES

21/07/2025

CVE-2025-53836

CRÍTIC (10,0)

CVSS3: 0,0

El renderitzat d’XWiki és un sistema de renderitzat genèric que converteix l’entrada textual en una sintaxi determinada (sintaxi wiki, HTML, etc.) en una altra sintaxi (XHTML, etc.). A partir de la versió 4.2-milestone-1 i anteriors a les versions 13.10.11, 14.4.7 i 14.10, l’analitzador de contingut de macros per defecte no conserva l’atribut restringit del context de transformació en executar macros imbricades. Això permet executar macros que normalment estan prohibides en mode restringit, en particular macros de script. Les macros de memòria cau i gràfic que s’inclouen a XWiki utilitzen la funció vulnerable. Això s’ha corregit a XWiki 13.10.11, 14.4.7 i 14.10.

Sistemes Afectats

  • xwiki xwiki-rendering 4.2-milestone-1
  • xwiki xwiki-rendering 14.0
  • xwiki xwiki-rendering 14.5

Remediació
Per evitar l’explotació d’aquest error, es poden desactivar els comentaris per a usuaris no fiables fins que s’hagi realitzat una actualització a una versió modificada. Tingueu en compte que els usuaris amb drets d’edició encara podran afegir comentaris a través de l’editor d’objectes, fins i tot si els comentaris s’han desactivat. Vegeu-ne les referències.