CVE-2025-51990

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2025-51990
XWiki through version 17.3.0 is affected by multiple stored Cross-Site Scripting (XSS) vulnerabilities in the Administration interface, specifically under the Presentation section of the Global Preferences panel. An authenticated administrator can inject arbitrary JavaScript payloads into the HTTP Meta Info, Footer Copyright, and Footer Version fields. These inputs are stored and subsequently rendered without proper output encoding or sanitization on public-facing pages. As a result, the injected scripts are persistently executed in the browser context of any visitor to the affected instances including both authenticated and unauthenticated users. No user interaction is required beyond visiting a page that includes the malicious content. Successful exploitation can lead to session hijacking, credential theft, unauthorized actions via session riding, or further compromise of the application through client-side attacks. The vulnerability introduces significant risk in any deployment, especially in shared or internet-facing environments where administrator credentials may be compromised.

4.8 /10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 1.7 / Impact : 2.7

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required HIGH

User Interaction REQUIRED

Confidentiality Impact LOW

Integrity Impact LOW

Availability Impact NONE

Scope CHANGED

References
Link Resource
https://github.com/malcxlmj/cve-writeups/blob/main/CVE-2025-51990.md Exploit Third Party Advisory
Configurations

Configuration 1 (hide)

cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:*
History

11 Sep 2025, 13:51

Type Values Removed Values Added
CPE cpe:2.3:a:xwiki:xwiki:*:*:*:*:*:*:*:*
References () https://github.com/malcxlmj/cve-writeups/blob/main/CVE-2025-51990.md - () https://github.com/malcxlmj/cve-writeups/blob/main/CVE-2025-51990.md - Exploit, Third Party Advisory
First Time Xwiki xwiki
Xwiki

22 Aug 2025, 18:09

Type Values Removed Values Added
Summary
  • (es) XWiki, hasta la versión 17.3.0, se ve afectado por múltiples vulnerabilidades de cross-site scripting (XSS) almacenado en la interfaz de Administración, específicamente en la sección Presentación del panel Preferencias globales. Un administrador autenticado puede inyectar payloads de JavaScript arbitrarios en los campos HTTP Meta Info, Footer Copyright y Footer Version. Estas entradas se almacenan y posteriormente se representan sin la codificación ni la depuración de salida adecuadas en páginas públicas. Como resultado, los scripts inyectados se ejecutan de forma persistente en el navegador de cualquier visitante de las instancias afectadas, tanto usuarios autenticados como no autenticados. No se requiere interacción del usuario más allá de visitar una página que incluya el contenido malicioso. Una explotación exitosa puede provocar secuestro de sesión, robo de credenciales, acciones no autorizadas mediante la ejecución de sesiones o un mayor riesgo de la aplicación mediante ataques del lado del cliente. Esta vulnerabilidad supone un riesgo significativo en cualquier implementación, especialmente en entornos compartidos o conectados a internet donde las credenciales del administrador pueden verse comprometidas.

20 Aug 2025, 16:15

Type Values Removed Values Added
CWE CWE-79
CVSS v2 : unknown
v3 : unknown 		v2 : unknown
v3 : 4.8

20 Aug 2025, 15:15

Type Values Removed Values Added
New CVE
Information

Published : 2025-08-20 15:15

Updated : 2025-09-11 13:51

NVD link : CVE-2025-51990

Mitre link : CVE-2025-51990

CVE.ORG link : CVE-2025-51990

JSON object : View

Products Affected

xwiki

  • xwiki
CWE
CWE-79

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')