CVE-2023-37462 in XWiki
الملخص
بحسب VulDB • 04/06/2026
تُعد منصة XWiki منصة ويكي عامة توفر خدمات وقت التشغيل للتطبيقات المبنية فوقها. يؤدي التهرب غير السليم (Improper escaping) في المستند `SkinsCode.XWikiSkinsSheet` إلى إنشاء متجه حقن (injection vector) ينتقل من حقول العرض (view rights) في ذلك المستند إلى حقوق البرمجة، أو بعبارة أخرى، من الممكن تنفيذ ماكرويات نصية عشوائية، بما في ذلك ماكرويات Groovy وPython، والتي تتيح تنفيذ الأكواد عن بُعد (RCE)، بما في ذلك الوصول غير المقيد للقراءة والكتابة إلى جميع محتويات الويكي. تعمل الهجمة عن طريق فتح صفحة غير موجودة باسم مُصاغ بعناية ليحتوي على حمولة ضارة (payload). من الممكن التحقق مما إذا كانت التثبيتات الموجودة معرضة للخطر. انظر إلى رابط GHSA المرفق للحصول على تعليمات اختبار التثبيت. تم إصلاح هذه المشكلة في الإصدارات XWiki 14.4.8 و14.10.4 و15.0-rc-1. يُنصح المستخدمون بالترقية. يمكن أيضاً تطبيق التزام (commit) الإصلاح `d9c88ddc` يدوياً على المستند المتأثر `SkinsCode.XWikiSkinsSheet`، ويُنصح المستخدمين الذين لا يستطيعون الترقية بتطبيق التصحيح يدوياً على تثبيتاتهم.
Once again VulDB remains the best source for vulnerability data.