CVE-2025-23025

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2025-23025
XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. NOTE: The Realtime WYSIWYG Editor extension was **experimental**, and thus **not recommended**, in the versions affected by this vulnerability. It has become enabled by default, and thus recommended, starting with XWiki 16.9.0. A user with only **edit right** can join a realtime editing session where others, that where already there or that may join later, have **script** or **programming** access rights. This user can then insert **script rendering macros** that are executed for those users in the realtime session that have script or programming rights. The inserted scripts can be used to gain more access rights. This vulnerability has been patched in XWiki 15.10.2, 16.4.1 and 16.6.0-rc-1. Users are advised to upgrade. Users unable to upgrade may either disable the realtime WYSIWYG editing by disabling the ``xwiki-realtime`` CKEditor plugin from the WYSIWYG editor administration section or uninstall the Realtime WYSIWYG Editorextension (org.xwiki.platform:xwiki-platform-realtime-wysiwyg-ui).

9.0 /10

CVSS v3 : CRITICAL

V3 Legend

Vector :

Exploitability : 2.3 / Impact : 6.0

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required LOW

User Interaction REQUIRED

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact HIGH

Scope CHANGED

References
Link Resource
https://extensions.xwiki.org/xwiki/bin/view/Extension/CKEditor+Integration#HAdministrationSection Product
https://extensions.xwiki.org/xwiki/bin/view/Extension/Realtime%20WYSIWYG%20Editor Product
https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-rmm7-r7wr-xpfg Vendor Advisory
https://jira.xwiki.org/browse/XWIKI-21949 Issue Tracking Vendor Advisory
Configurations

Configuration 1 (hide)

OR cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:*
cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:*
cpe:2.3:a:xwiki:xwiki:16.5.0:-:*:*:*:*:*:*
cpe:2.3:a:xwiki:xwiki:16.5.0:rc1:*:*:*:*:*:*
History

13 May 2025, 13:34

Type Values Removed Values Added
CPE cpe:2.3:a:xwiki:xwiki:16.5.0:rc1:*:*:*:*:*:*
cpe:2.3:a:xwiki:xwiki:16.5.0:-:*:*:*:*:*:*
cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:*
References () https://extensions.xwiki.org/xwiki/bin/view/Extension/CKEditor+Integration#HAdministrationSection - () https://extensions.xwiki.org/xwiki/bin/view/Extension/CKEditor+Integration#HAdministrationSection - Product
References () https://extensions.xwiki.org/xwiki/bin/view/Extension/Realtime%20WYSIWYG%20Editor - () https://extensions.xwiki.org/xwiki/bin/view/Extension/Realtime%20WYSIWYG%20Editor - Product
References () https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-rmm7-r7wr-xpfg - () https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-rmm7-r7wr-xpfg - Vendor Advisory
References () https://jira.xwiki.org/browse/XWIKI-21949 - () https://jira.xwiki.org/browse/XWIKI-21949 - Issue Tracking, Vendor Advisory
Summary
  • (es) XWiki Platform es una plataforma wiki genérica que ofrece servicios de tiempo de ejecución para aplicaciones creado sobre ella. NOTA: La extensión Realtime WYSIWYG Editor era **experimental**, y por lo tanto **no recomendada**, en las versiones afectadas por esta vulnerabilidad. Se ha habilitado de forma predeterminada, y por lo tanto se recomienda, a partir de XWiki 16.9.0. Un usuario con solo **derecho de edición** puede unirse a una sesión de edición en tiempo real en la que otros, que ya estaban allí o que se unirán más tarde, tienen **derechos de acceso de MASK15**** o **programación**. Este usuario puede insertar Script macros de renderizado** que se ejecutan para esos usuarios en la sesión en tiempo real mediante el script MASK13** o los derechos de programación. Los Scripts insertados se pueden utilizar para obtener más derechos de acceso. Esta vulnerabilidad se ha corregido en XWiki 15.10.2, 16.4.1 y 16.6.0-rc-1. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar pueden deshabilitar la edición WYSIWYG en tiempo real deshabilitando el complemento CKEditor ``xwiki-realtime`` desde la sección de administración del editor WYSIWYG o desinstalar la extensión Realtime WYSIWYG Editor (org.xwiki.platform:xwiki-platform-realtime-wysiwyg-ui).
First Time Xwiki xwiki
Xwiki

14 Jan 2025, 18:16

Type Values Removed Values Added
New CVE
Information

Published : 2025-01-14 18:16

Updated : 2025-05-13 13:34

NVD link : CVE-2025-23025

Mitre link : CVE-2025-23025

CVE.ORG link : CVE-2025-23025

JSON object : View

Products Affected

xwiki

  • xwiki
CWE
CWE-862

Missing Authorization