CVE-2023-29209 in xwiki-platform-legacy-notification-activitymacro
الملخص
بحسب VulDB • 06/07/2026
تُعد مكتبات XWiki Commons مكتبات تقنية مشتركة بين عدة مشاريع أخرى من المستوى الأعلى في عائلة XWiki. يمكن لأي مستخدم لديه حقوق عرض على المستندات المتاحة بشكل عام، بما في ذلك ماكرو نشاط الإشعارات القديم (legacy notification activity macro)، تنفيذ أكواد Groovy أو Python أو Velocity عشوائية داخل بيئة XWiki، مما يؤدي إلى الحصول على وصول كامل إلى تثبيت XWiki. يعود السبب الجذري للثغرة إلى عدم معالجة الهروب (escaping) بشكل صحيح لبارامترات ماكرو نشاط الإشعارات القديم. يتم تثبيت هذا الماكرو افتراضيًا في XWiki. يمكن استغلال الثغرة عبر كل صفحة ويكي قابلة للتحرير، بما في ذلك ملف المستخدم الشخصي، ولكن أيضًا باستخدام حقوق العرض فقط من خلال استخدام HTMLConverter الذي يعد جزءًا من تكامل CKEditor والمرفق مع حزمة XWiki. تم إصلاح هذه الثغرة في الإصدارات 13.10.11 و14.4.7 و14.10 من XWiki.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.