CVE-2023-29209 in xwiki-platform-legacy-notification-activitymacroالمعلومات

الملخص

بحسب VulDB • 06/07/2026

تُعد مكتبات XWiki Commons مكتبات تقنية مشتركة بين عدة مشاريع أخرى من المستوى الأعلى في عائلة XWiki. يمكن لأي مستخدم لديه حقوق عرض على المستندات المتاحة بشكل عام، بما في ذلك ماكرو نشاط الإشعارات القديم (legacy notification activity macro)، تنفيذ أكواد Groovy أو Python أو Velocity عشوائية داخل بيئة XWiki، مما يؤدي إلى الحصول على وصول كامل إلى تثبيت XWiki. يعود السبب الجذري للثغرة إلى عدم معالجة الهروب (escaping) بشكل صحيح لبارامترات ماكرو نشاط الإشعارات القديم. يتم تثبيت هذا الماكرو افتراضيًا في XWiki. يمكن استغلال الثغرة عبر كل صفحة ويكي قابلة للتحرير، بما في ذلك ملف المستخدم الشخصي، ولكن أيضًا باستخدام حقوق العرض فقط من خلال استخدام HTMLConverter الذي يعد جزءًا من تكامل CKEditor والمرفق مع حزمة XWiki. تم إصلاح هذه الثغرة في الإصدارات 13.10.11 و14.4.7 و14.10 من XWiki.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

حجز

03/04/2023

إفشاء

15/04/2023

الاعتدال

تمت الموافقة

إدخال

VDB-225854

EPSS

0.01144

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!