Plataforma
java
Componente
org.xwiki.rendering:xwiki-rendering-syntax-xhtml
Corregido en
5.4.6
14.10
La vulnerabilidad CVE-2025-53835 es una falla de tipo Cross-Site Scripting (XSS) presente en el componente org.xwiki.rendering:xwiki-rendering-syntax-xhtml de Xwiki. Esta falla permite a un atacante inyectar código HTML y JavaScript arbitrario en documentos, afectando potencialmente a usuarios con permisos de edición, como aquellos que pueden modificar sus perfiles. La vulnerabilidad afecta a versiones de Xwiki hasta la 9.9-rc-2, y se recomienda actualizar a la versión 14.10 para solucionar el problema.
El impacto de esta vulnerabilidad es significativo, ya que permite la ejecución de código JavaScript arbitrario en el contexto del navegador de la víctima. Un atacante podría explotar esta falla para robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o incluso tomar el control completo de la cuenta del usuario afectado. La inyección de código se logra aprovechando la dependencia del componente en xdom+xml/current, que permite la creación de bloques raw donde se puede insertar HTML arbitrario. Esto es particularmente peligroso dado que la edición de perfiles de usuario está habilitada por defecto en Xwiki, exponiendo a un amplio rango de usuarios al riesgo de ataque. La severidad crítica se debe a la facilidad de explotación y el potencial de impacto en la confidencialidad, integridad y disponibilidad del sistema.
La vulnerabilidad CVE-2025-53835 fue publicada el 14 de julio de 2025. Actualmente no se dispone de información sobre su inclusión en el KEV de CISA ni sobre campañas de explotación activas. Sin embargo, dada la naturaleza de la vulnerabilidad XSS y su potencial de impacto, es importante aplicar las mitigaciones recomendadas lo antes posible. La descripción de la vulnerabilidad sugiere un patrón de explotación similar a otras vulnerabilidades XSS que involucran la manipulación de sintaxis de renderizado.
Organizations using XWiki for internal documentation, collaboration, or knowledge management are at risk. Specifically, deployments with user profiles enabled for editing are particularly vulnerable, as attackers can directly modify user profiles to inject malicious code. Shared hosting environments where multiple users have access to XWiki instances also face increased risk.
• java: Monitor XWiki logs for attempts to set document syntax to xdom+xml/current.
grep 'syntax=xdom+xml/current' /path/to/xwiki/logs/xwiki.log• generic web: Check for suspicious HTML tags or JavaScript code in XWiki document content using a WAF or manual inspection. • generic web: Monitor access logs for requests containing unusual HTML or JavaScript patterns. • generic web: Review XWiki document templates for potential vulnerabilities related to raw HTML insertion.
disclosure
Estado del Exploit
EPSS
1.35% (80% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Xwiki a la versión 14.10 o superior, donde la falla ha sido corregida. Si la actualización a la versión más reciente no es inmediatamente posible, se recomienda deshabilitar temporalmente la sintaxis xdom+xml/current en los documentos. Como medida adicional, se puede implementar una Web Application Firewall (WAF) con reglas que detecten y bloqueen intentos de inyección de código HTML/JavaScript en los campos de edición de documentos. Monitorear los logs de Xwiki en busca de patrones sospechosos, como la creación de bloques raw con contenido HTML inusual, también puede ayudar a detectar y prevenir ataques. Después de la actualización, confirmar la mitigación revisando los logs y verificando que la sintaxis xdom+xml/current no se pueda utilizar para inyectar código malicioso.
Actualice la biblioteca XWiki Rendering a la versión 14.10 o superior. Esta versión corrige la vulnerabilidad XSS al eliminar la dependencia insegura en la sintaxis `xdom+xml/current` de la sintaxis XHTML. La actualización evitará la ejecución de código JavaScript arbitrario a través de contenido HTML malicioso.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-53835 is a critical XSS vulnerability in XWiki's XHTML rendering syntax, allowing attackers to inject malicious scripts. It affects versions up to 9.9-rc-2.
Yes, if you are using XWiki versions 9.9-rc-2 or earlier, you are vulnerable to this XSS attack. Upgrade immediately.
Upgrade to XWiki version 14.10 or later to resolve this vulnerability. If immediate upgrade is not possible, restrict document editing permissions.
While no active exploitation has been confirmed, the vulnerability's severity and ease of exploitation suggest it may be targeted soon.
Refer to the official XWiki security advisory for detailed information and mitigation steps: [https://www.xwiki.com/xwiki/bin/view/Main/SecurityAdvisories](https://www.xwiki.com/xwiki/bin/view/Main/SecurityAdvisories)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.