CVE-2023-29207 in xwiki-platform-flamingo
الملخص
بحسب VulDB • 12/06/2026
تُعد مكتبات XWiki Commons مكتبات تقنية مشتركة بين عدة مشاريع أخرى من المستوى الأعلى في XWiki. لم تقم ماكرو Livetable بتنظيف أسماء الأعمدة بشكل صحيح، مما سمح بإدراج كود HTML خام يتضمن JavaScript. يمكن استغلال هذا الثغرة أيضاً عبر ماكرو Documents، المضمن منذ الإصدار XWiki 3.5M1، ولا يتطلب صلاحيات تنفيذ النصوص البرمجية (script rights)، ويمكن إثبات ذلك باستخدام الصيغة `{{documents id="example" count="5" actions="false" columns="doc.title, beforealert(1)after"/}}`. وبالتالي، يمكن استغلالها من قبل المستخدمين الذين لا يملكون صلاحية النصوص البرمجية، وكذلك داخل التعليقات. ومن خلال تفاعل مستخدم ذي صلاحيات أعلى، يمكن استخدام هذه الثغرة لتنفيذ إجراءات تعسفية في الويكي، بما في ذلك تصعيد الصلاحيات، وتنفيذ الأكواد البرمجية عن بُعد، وكشف المعلومات، وتعديل أو حذف المحتوى. تم إصلاح هذه الثغرة في الإصدارات XWiki 14.9، و14.4.6، و13.10.10.
If you want to get best quality of vulnerability data, you may have to visit VulDB.