[TLP:CLEAR] XWiki opravuje 2 kritické zranitelnosti
XWiki verzemi 13.10.11, 14.4.7 a 14.10 opravuje dvě kritické zranitelnosti [1][2].
Autentizovanému vzdálenému útočníkovi s oprávněním upravovat dokumenty je kvůli závislosti syntaxe XHTML na 'xdom+xml/current', která umožňuje vkládání libovolného HTML včetně JavaScriptu, umožněno provést XSS útok [1].
Zranitelnost se nachází v produktu XWiki ve verzích >=5.4.5 AND <14.10.
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
Více informací:
- CVE-2025-53835 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-80: Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) at cwe.mitre.org
Zranitelnost byla veřejně oznámena 14. 7. 2025.
Autentizovanému vzdálenému útočníkovi je kvůli nesprávnému zachování atributu „restricted“ při vykonávání vnořených maker umožněno spustit zakázaná makra, což může vést k eskalaci oprávnění a vzdálenému spuštění kódu [2].
Zranitelnost se nachází v produktu XWiki ve verzích (>=4.2-milestone-1 AND <13.10.11) OR (>=14.0 AND <14.4.7) OR (>=14.5 AND <14.10).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Více informací:
- CVE-2025-53836 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-270: Privilege Context Switching Error at cwe.mitre.org
Zranitelnost byla veřejně oznámena 14. 7. 2025.
Odkazy
Za CESNET-CERTS Michaela Jarošová dne 15. 7. 2025.
