Plataforma
java
Componente
org.xwiki.platform:xwiki-platform-webjars-api
Corregido en
6.1.1
16.10.7
16.10.7
La vulnerabilidad CVE-2025-55747 es un fallo de Path Traversal descubierto en la API de Webjars de XWiki Platform. Esta falla permite a atacantes acceder y leer archivos de configuración sensibles, como xwiki.cfg, mediante la manipulación de URLs. Afecta a versiones anteriores a 16.10.7 y 17.4.0-rc-1. Se recomienda actualizar a una versión parcheada para mitigar el riesgo.
Un atacante puede explotar esta vulnerabilidad para obtener acceso no autorizado a archivos de configuración críticos dentro del entorno XWiki. Al manipular la URL, el atacante puede eludir las restricciones de acceso al sistema de archivos, permitiendo la lectura de información confidencial. La exposición de archivos de configuración podría revelar credenciales de base de datos, claves de API u otra información sensible, lo que podría llevar a la toma de control del sistema o a la exfiltración de datos. La gravedad de esta vulnerabilidad se agrava por la facilidad con la que puede ser explotada, requiriendo solo la construcción de una URL maliciosa.
La vulnerabilidad fue publicada el 3 de septiembre de 2025. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la facilidad de explotación y la gravedad del impacto sugieren que podría ser un objetivo atractivo para los atacantes. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Organizations deploying XWiki Platform, particularly those with publicly accessible instances, are at risk. Legacy XWiki installations and those with misconfigured access controls are especially vulnerable. Shared hosting environments where multiple users share the same XWiki instance also face increased risk.
• java / server:
ps aux | grep xwiki• java / server:
journalctl -u xwiki | grep -i "webjars"• generic web:
curl -I http://<target>/xwiki/webjars/wiki%3Axwiki/..%2F..%2F..%2F..%2F..%2FWEB-INF%2Fxwiki.cfgdisclosure
Estado del Exploit
EPSS
1.99% (83% percentil)
CISA SSVC
La mitigación principal para CVE-2025-55747 es actualizar XWiki Platform a la versión 16.10.7 o 17.4.0-rc-1, donde la vulnerabilidad ha sido corregida. Si la actualización inmediata no es posible, no existen workarounds conocidos. Se recomienda revisar la configuración del servidor web para asegurar que la directiva de seguridad adecuada esté en vigor, aunque esto no es una solución completa. Después de la actualización, verifique la integridad de los archivos de configuración y monitoree los registros del servidor en busca de actividad sospechosa.
Actualice XWiki Platform a la versión 16.10.7 o superior. Esta versión corrige la vulnerabilidad que permite el acceso no autorizado a archivos de configuración a través de la (API webjars). La actualización asegura que los archivos de configuración estén protegidos y no sean accesibles públicamente.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-55747 es una vulnerabilidad de Path Traversal en la API de Webjars de XWiki Platform que permite a atacantes acceder a archivos de configuración sensibles mediante la manipulación de URLs.
Si está utilizando una versión de XWiki Platform anterior a 16.10.7 o 17.4.0-rc-1, es vulnerable a esta vulnerabilidad.
La solución es actualizar XWiki Platform a la versión 16.10.7 o 17.4.0-rc-1. No existen workarounds conocidos.
No se ha confirmado la explotación activa, pero la facilidad de explotación sugiere que podría ser un objetivo.
Puede encontrar la información oficial en el sitio web de XWiki: https://jira.xwiki.org/browse/XWIKI-19350
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.