Plataforma
java
Componente
org.xwiki.contrib:macro-fullcalendar-pom
Corregido en
2.4.6
2.4.5
Se ha descubierto una vulnerabilidad de inyección SQL en el componente org.xwiki.contrib:macro-fullcalendar-pom. Esta falla permite a atacantes con permisos de visualización, incluso usuarios invitados, acceder a información sensible de la base de datos o iniciar ataques de denegación de servicio (DoS). La vulnerabilidad afecta a versiones anteriores a 2.4.5 y se recomienda actualizar a la versión corregida o implementar una solución alternativa.
La inyección SQL en org.xwiki.contrib:macro-fullcalendar-pom representa un riesgo crítico para la seguridad de las aplicaciones XWiki que utilizan este componente. Un atacante puede explotar esta vulnerabilidad para extraer datos confidenciales de la base de datos, como nombres de usuario, contraseñas, información personal o datos de negocio. Además, la inyección SQL puede ser utilizada para ejecutar comandos arbitrarios en el servidor de la base de datos, comprometiendo la integridad y disponibilidad del sistema. La posibilidad de que usuarios invitados puedan explotar esta vulnerabilidad amplía significativamente el radio de impacto, ya que no requiere autenticación previa.
Esta vulnerabilidad ha sido documentada en el Jira issue FULLCAL-80 y FULLCAL-81. La probabilidad de explotación se considera alta debido a la facilidad de acceso a la página vulnerable y la falta de autenticación requerida. No se han reportado activamente campañas de explotación a gran escala, pero la naturaleza crítica de la vulnerabilidad y la disponibilidad de información pública sobre la misma la convierten en un objetivo atractivo para atacantes. La vulnerabilidad fue publicada el 2026-01-09.
Organizations utilizing XWiki with the Macro FullCalendar component, particularly those with public-facing calendars or less restrictive access controls, are at risk. Shared hosting environments where multiple XWiki instances share the same database are also particularly vulnerable, as a compromise of one instance could potentially impact others.
• java / server:
ps -ef | grep -i fullcalendar• java / server:
journalctl -u xwiki | grep -i "Calendar.JSONService"• generic web:
curl -I <xwiki_url>/xwiki/bin/calendar/Calendar.JSONService• generic web:
grep -r 'Calendar.JSONService' /var/log/apache2/access.logdisclosure
Estado del Exploit
EPSS
0.21% (43% percentil)
CISA SSVC
Vector CVSS
La solución principal para mitigar esta vulnerabilidad es actualizar el componente org.xwiki.contrib:macro-fullcalendar-pom a la versión 2.4.5 o superior, que incluye la corrección para la inyección SQL. Si la actualización no es posible de inmediato, se recomienda como solución alternativa eliminar la página Calendar.JSONService. Esta acción, aunque efectiva, puede afectar la funcionalidad del calendario. Se debe monitorear el acceso a la base de datos y configurar reglas en firewalls o sistemas de detección de intrusiones (IDS) para detectar patrones de inyección SQL. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que no se puede acceder a la información de la base de datos a través de la página Calendar.JSONService.
Actualice el macro Full Calendar de XWiki a la versión 2.4.5 o superior. Esta versión contiene una corrección para la vulnerabilidad de inyección SQL. La actualización se puede realizar a través del administrador de extensiones de XWiki.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-65091 is a critical SQL Injection vulnerability affecting XWiki Macro FullCalendar versions prior to 2.4.5. It allows unauthorized users to potentially extract data or launch DoS attacks.
If you are using XWiki Macro FullCalendar version 2.4.4 or earlier, you are vulnerable to this SQL Injection flaw. Upgrade to 2.4.5 to mitigate the risk.
The recommended fix is to upgrade to XWiki Macro FullCalendar version 2.4.5 or later. As a temporary workaround, remove the Calendar.JSONService page.
While there are currently no confirmed reports of active exploitation, the vulnerability's severity and ease of exploitation suggest a potential for future attacks.
Refer to the XWiki Jira issue for more information: https://jira.xwiki.org/browse/FULLCAL-80 and https://jira.xwiki.org/browse/FULLCAL-81
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.