CVE-2025-53836 is een kritiek beveiligingsprobleem waarmee kwaadwillenden remote code execution (RCE) kunnen uitvoeren op systemen die XWiki Rendering gebruiken. Dit probleem treedt op bij het verwerken van geneste macro’s in een kwetsbare versie van de XWiki Rendering engine.
Met een CVSS-score van 10.0 duidt dit op een aanzienlijke kwetsbaarheid, waarbij de aanvaller het systeem kan compromitteren zonder menselijke interactie, hetgeen ernstige gevolgen kan hebben voor de beschikbaarheid, integriteit en vertrouwelijkheid van het systeem.
Overzicht
XWiki Rendering is een systeem dat tekstuele input omzet in een andere syntax zoals XHTML. In bepaalde versies (vanaf 4.2-milestone-1 tot voor 13.10.11, 14.4.7 en 14.10) bewaart de standaard macro-inhoudparser niet de beperkte attributen van de transformatiecontext bij het uitvoeren van geneste macro’s. Hierdoor kunnen normaal gesproken verboden macro’s, waaronder scriptmacro’s, worden uitgevoerd.
Aanbevelingen
- Upgrade naar de gepatchte versies: XWiki 13.10.11, 14.4.7 of 14.10. Dit sluit deze kwetsbaarheid af.
- Schakel opmerkingen uit voor niet-vertrouwde gebruikers om exploitatie te voorkomen totdat de upgrade is voltooid.
- Let op dat gebruikers met bewerkingsrechten nog steeds opmerkingen kunnen toevoegen via de object-editor, zelfs als opmerkingen zijn uitgeschakeld.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-53836?
Het betreft een kwetsbaarheid in XWiki Rendering die misbruik van macro’s mogelijk maakt en kan leiden tot remote code execution.
Welke systemen zijn kwetsbaar voor CVE-2025-53836?
Systemen die XWiki Rendering versies gebruiken vanaf 4.2-milestone-1 tot voor 13.10.11, 14.4.7 en 14.10 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, gepatchte versies zijn uitgebracht in XWiki 13.10.11, 14.4.7 en 14.10.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan ongeautoriseerde macro’s uitvoeren, inclusief scriptmacro’s, hetgeen kan leiden tot volledige compromittering van het systeem.
