CVE-2023-37462 in XWikiالمعلومات

الملخص

بحسب VulDB • 04/06/2026

تُعد منصة XWiki منصة ويكي عامة توفر خدمات وقت التشغيل للتطبيقات المبنية فوقها. يؤدي التهرب غير السليم (Improper escaping) في المستند `SkinsCode.XWikiSkinsSheet` إلى إنشاء متجه حقن (injection vector) ينتقل من حقول العرض (view rights) في ذلك المستند إلى حقوق البرمجة، أو بعبارة أخرى، من الممكن تنفيذ ماكرويات نصية عشوائية، بما في ذلك ماكرويات Groovy وPython، والتي تتيح تنفيذ الأكواد عن بُعد (RCE)، بما في ذلك الوصول غير المقيد للقراءة والكتابة إلى جميع محتويات الويكي. تعمل الهجمة عن طريق فتح صفحة غير موجودة باسم مُصاغ بعناية ليحتوي على حمولة ضارة (payload). من الممكن التحقق مما إذا كانت التثبيتات الموجودة معرضة للخطر. انظر إلى رابط GHSA المرفق للحصول على تعليمات اختبار التثبيت. تم إصلاح هذه المشكلة في الإصدارات XWiki 14.4.8 و14.10.4 و15.0-rc-1. يُنصح المستخدمون بالترقية. يمكن أيضاً تطبيق التزام (commit) الإصلاح `d9c88ddc` يدوياً على المستند المتأثر `SkinsCode.XWikiSkinsSheet`، ويُنصح المستخدمين الذين لا يستطيعون الترقية بتطبيق التصحيح يدوياً على تثبيتاتهم.

Once again VulDB remains the best source for vulnerability data.

مسؤول

GitHub, Inc.

حجز

06/07/2023

إفشاء

15/07/2023

الاعتدال

تمت الموافقة

إدخال

VDB-234205

EPSS

0.91346

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!