Informazioni sul CVE-2025-23025
Privilege escalation (PR) through realtime WYSIWYG editing in XWiki
CWE ID: CWE-862
Base Score (CVSS): N/A
CVE: CVE-2025-23025
Descrizione: XWiki Platform è una piattaforma wiki generica che offre servizi di runtime per applicazioni costruite sopra di essa. NOTA: L’estensione WYSIWYG Realtime per applicazioni era **experimental**, e quindi **non raccomandata**, nelle versioni colpite da questa vulnerabilità. È diventata predefinita, e quindi raccomandata, a partire da XWiki 16.9.0. Un utente con solo **accesso di modifica** può unirsi a una sessione di editing in tempo reale dove altri, che già sono presenti o che potrebbero unirsi in seguito, hanno **script** o **programmazione** dei diritti. Questo utente può quindi inserire **macro di rendering script** che vengono eseguiti per quei utenti nella sessione in tempo reale che hanno i diritti di script o programmazione. Le script inserite possono essere utilizzate per ottenere maggiori diritti di accesso. Questa vulnerabilità è stata corretta in XWiki 15.10.2, 16.4.1 e 16.6-rc-1. Gli utenti sono consigliati di aggiornare. Gli utenti che non possono aggiornare possono disabilitare la sessione di editing in tempo reale disabilitando il plugin CKEditor per la sezione amministrazione WYSIWYG editor o disinstallando l’estensione WYSIWYG Realtime (org.xwiki.platform:xwiki-platform-realtime-wysiwyg-ui).
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: Low, Interazione utente: Required, Confidenzialità: High, Integrità: High, Disponibilità: High.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | L | Low | Richiede pochi privilegi. |
| User Interaction (UI) | R | Required | È richiesta l’interazione di un utente. |
| Scope (S) | C | Changed | La vulnerabilità impatta su componenti esterni. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | H | High | Grave impatto sull’integrità. |
| Availability Impact (A) | H | High | Rende il sistema inutilizzabile. |
Riferimenti esterni
- https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-rmm7-r7wr-xpfg
- https://extensions.xwiki.org/xwiki/bin/view/Extension/CKEditor+Integration#HAdministrationSection
- https://extensions.xwiki.org/xwiki/bin/view/Extension/Realtime%20WYSIWYG%20Editor
- https://jira.xwiki.org/browse/XWIKI-21949
Prodotti interessati
- xwiki – xwiki-platform
Relazioni con altri prodotti
Produttore:xwiki
Prodotto: xwiki-platform
Anno: 2025
CWE: CWE-862
CVSS: 0.0