CVE-2023-37909 in XWikiالمعلومات

الملخص

بحسب VulDB • 27/05/2026

تُعد منصة XWiki منصة ويكي عامة توفر خدمات وقت التشغيل للتطبيقات المبنية فوقها. بدءًا من الإصدار 5.1-rc-1 وحتى الإصدارات السابقة لـ 14.10.8 و15.3-rc-1، يمكن لأي مستخدم قادر على تعديل ملفه الشخصي الخاص تنفيذ ماكرويات نصية عشوائية، بما في ذلك ماكرويات Groovy وPython التي تتيح تنفيذ الأكواد عن بُعد، بما في ذلك الوصول غير المقيد للقراءة والكتابة إلى جميع محتويات الويكي. تم إصلاح هذا الثغرة في XWiki 14.10.8 و15.3-rc-1 من خلال إضافة الهروب الصحيح (escaping) للحروف. كحل بديل، يمكن تطبيق التصحيح يدويًا على المستند `Menu.UIExtensionSheet`؛ حيث يتطلب الأمر تغيير ثلاثة أسطر فقط.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

GitHub, Inc.

حجز

10/07/2023

إفشاء

25/10/2023

الاعتدال

تمت الموافقة

إدخال

VDB-243452

EPSS

0.01621

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!