Een kritieke beveiligingslek, CVE-2025-53835, is ontdekt in XWiki Rendering. Dit lek maakt het mogelijk voor aanvallers om via onbeveiligde XHTML syntax cross-site scripting (XSS) aanvallen uit te voeren. Deze kwetsbaarheid heeft een CVSS score van 9.1 en heeft invloed op de vertrouwelijkheid, integriteit en beschikbaarheid van uw systemen. Versies van XWiki Rendering vanaf 5.4.5 tot en met voor 14.10 zijn kwetsbaar.
Overzicht
XWiki Rendering, een generiek renderingssysteem dat tekstinvoer omzet in verschillende syntaxis, is kwetsbaar voor XSS-aanvallen door het gebruik van onveilige raw blocks in XHTML syntaxis. Gebruikers die een document, zoals hun gebruikersprofiel, kunnen bewerken, kunnen hierdoor arbitrary HTML en JavaScript invoegen. Dit probleem is opgelost in versie 14.10 door de afhankelijkheid van de `xdom+xml/current` syntaxis te verwijderen.
Deze kwetsbaarheid vormt een aanzienlijk risico doordat kwaadwillende gebruikers mogelijk zonder toestemming toegang kunnen krijgen tot gevoelige informatie binnen het hele netwerk.
Aanbevelingen
- Upgrade naar XWiki Rendering versie 14.10 of nieuwer om deze kwetsbaarheid te verhelpen.
- Installeer of gebruik de kwetsbare `xdom+xml` syntaxis niet op reguliere wiki’s. Deze is vooral bedoeld voor testdoeleinden en is moeilijk te gebruiken.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-53835?
Dit is een beveiligingslek in XWiki Rendering dat XSS-aanvallen mogelijk maakt vanwege een onveilige implementatie van XHTML syntaxis.
Welke systemen zijn kwetsbaar voor CVE-2025-53835?
Systemen met XWiki Rendering versies vanaf 5.4.5 tot en met voor 14.10 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, upgrade naar versie 14.10 om de kwetsbaarheid te patchen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan arbitrary HTML en JavaScript injiceren, waardoor de vertrouwelijkheid en integriteit van het systeem in gevaar komen.
