Plateforme
java
Composant
org.xwiki.contrib.markdown:syntax-markdown-commonmark12
Corrigé dans
8.2.1
8.9
La vulnérabilité CVE-2025-46558 est une faille de type Cross-Site Scripting (XSS) critique affectant le module org.xwiki.contrib.markdown:syntax-markdown-commonmark12. Cette faille permet à un attaquant d'injecter du code JavaScript malveillant qui sera exécuté dans le navigateur d'autres utilisateurs, compromettant potentiellement l'ensemble de l'installation XWiki. Les versions antérieures à 8.9 sont concernées, et une mise à jour vers cette version est recommandée.
L'impact de cette vulnérabilité est significatif. Un attaquant peut exploiter cette faille pour exécuter du code JavaScript arbitraire dans le contexte du navigateur de n'importe quel utilisateur visitant un document ou un commentaire contenant le code malveillant. Si l'attaquant dispose de privilèges d'administrateur ou de programmation, il peut compromettre la confidentialité, l'intégrité et la disponibilité de l'ensemble de l'installation XWiki. Cela pourrait inclure le vol de données sensibles, la modification de contenus, ou même la prise de contrôle complète du système. Bien que la description ne mentionne pas d'exploitation active, la sévérité critique et la facilité potentielle d'exploitation en font une menace sérieuse.
Cette vulnérabilité a été rendue publique le 30 avril 2025. Bien qu'aucune exploitation active n'ait été signalée à ce jour, la sévérité critique et la simplicité potentielle de l'exploitation en font une cible attrayante pour les attaquants. Il est conseillé de surveiller les forums de sécurité et les rapports de vulnérabilités pour détecter d'éventuelles preuves d'exploitation.
Organizations using XWiki with the CommonMark Markdown Syntax 1.2 extension installed are at risk. This includes those relying on XWiki for collaborative documentation, knowledge management, or content creation. Specifically, XWiki instances with limited input validation or those lacking robust WAF protection are particularly vulnerable.
• java / server: Monitor XWiki application logs for unusual JavaScript execution patterns or errors related to Markdown parsing. Use Java profilers to identify suspicious code execution within the org.xwiki.contrib.markdown package.
• generic web: Use curl/wget to test for the presence of the vulnerable Markdown syntax extension. Check response headers for unexpected JavaScript code.
• wordpress / composer / npm: N/A - This vulnerability is specific to the XWiki platform.
• database (mysql, redis, mongodb, postgresql): N/A - This vulnerability does not directly impact databases.
disclosure
Statut de l'Exploit
EPSS
3.03% (percentile 87%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le module org.xwiki.contrib.markdown:syntax-markdown-commonmark12 vers la version 8.9 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution temporaire pourrait consister à désactiver l'extension CommonMark Markdown Syntax 1.2. Il est également recommandé de mettre en place des règles de filtrage de contenu (Content Security Policy - CSP) pour limiter l'exécution de scripts externes. Après la mise à jour, vérifiez l'intégrité du module et assurez-vous qu'il est correctement configuré.
Mettez à jour le plugin Syntax Markdown à la version 8.9 ou supérieure. Cette version contient une correction pour la vulnérabilité XSS. La mise à jour peut être effectuée via l'interface d'administration de XWiki.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-46558 is a critical XSS vulnerability in XWiki's Markdown Syntax 1.2 component, allowing attackers to inject JavaScript code via Markdown, potentially compromising user sessions and the entire XWiki installation.
You are affected if you are using XWiki with the CommonMark Markdown Syntax 1.2 extension installed and have not upgraded to version 8.9 or later.
Upgrade XWiki to version 8.9 or later. As a temporary workaround, consider disabling the extension or implementing strict input validation and WAF rules.
While no widespread exploitation has been confirmed, the vulnerability's ease of exploitation suggests a potential for active campaigns. Continuous monitoring is recommended.
Refer to the official XWiki security advisory for detailed information and updates: [https://www.xwiki.com/xwiki/bin/view/Main/SecurityAdvisories](https://www.xwiki.com/xwiki/bin/view/Main/SecurityAdvisories)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.