Plataforma
java
Componente
org.xwiki.contrib.markdown:syntax-markdown-commonmark12
Corrigido em
8.2.1
8.9
A vulnerabilidade CVE-2025-46558 é uma falha de Cross-Site Scripting (XSS) presente na extensão Markdown CommonMark 1.2 do XWiki. Essa falha permite que usuários maliciosos injetem código JavaScript através de HTML, que será executado no navegador de outros usuários que visualizarem o documento ou comentário afetado. Versões do XWiki anteriores à 8.9 são vulneráveis e a correção foi disponibilizada na versão 8.9.
Um atacante pode explorar essa vulnerabilidade para executar scripts maliciosos no navegador de outros usuários do XWiki, mesmo aqueles com privilégios de administrador ou programação. Isso pode levar ao roubo de informações confidenciais, como credenciais de login, ou à manipulação de dados. A execução de código arbitrário no contexto do XWiki pode comprometer a integridade e a disponibilidade de toda a instalação. A injeção de scripts pode ser usada para redirecionar usuários para sites maliciosos, exibir conteúdo falso ou realizar outras ações prejudiciais.
A vulnerabilidade foi divulgada em 30 de abril de 2025. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração.
Organizations using XWiki with the CommonMark Markdown Syntax 1.2 extension installed are at risk. This includes those relying on XWiki for collaborative documentation, knowledge management, or content creation. Specifically, XWiki instances with limited input validation or those lacking robust WAF protection are particularly vulnerable.
• java / server: Monitor XWiki application logs for unusual JavaScript execution patterns or errors related to Markdown parsing. Use Java profilers to identify suspicious code execution within the org.xwiki.contrib.markdown package.
• generic web: Use curl/wget to test for the presence of the vulnerable Markdown syntax extension. Check response headers for unexpected JavaScript code.
• wordpress / composer / npm: N/A - This vulnerability is specific to the XWiki platform.
• database (mysql, redis, mongodb, postgresql): N/A - This vulnerability does not directly impact databases.
disclosure
Status do Exploit
EPSS
3.03% (percentil 87%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o XWiki para a versão 8.9 ou superior, que inclui a correção para essa vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de proteção adicionais, como a validação e sanitização rigorosas de todas as entradas de dados Markdown. Utilize um Web Application Firewall (WAF) com regras para detectar e bloquear payloads XSS comuns. Monitore os logs do XWiki em busca de atividades suspeitas, como tentativas de injeção de código JavaScript.
Atualize o plugin Syntax Markdown para a versão 8.9 ou superior. Esta versão contém uma correção para a vulnerabilidade XSS. A atualização pode ser realizada através da interface de administração do XWiki.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-46558 is a critical XSS vulnerability in XWiki's Markdown Syntax 1.2 component, allowing attackers to inject JavaScript code via Markdown, potentially compromising user sessions and the entire XWiki installation.
You are affected if you are using XWiki with the CommonMark Markdown Syntax 1.2 extension installed and have not upgraded to version 8.9 or later.
Upgrade XWiki to version 8.9 or later. As a temporary workaround, consider disabling the extension or implementing strict input validation and WAF rules.
While no widespread exploitation has been confirmed, the vulnerability's ease of exploitation suggests a potential for active campaigns. Continuous monitoring is recommended.
Refer to the official XWiki security advisory for detailed information and updates: [https://www.xwiki.com/xwiki/bin/view/Main/SecurityAdvisories](https://www.xwiki.com/xwiki/bin/view/Main/SecurityAdvisories)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.