CVE-2023-37913 in XWiki
Zusammenfassung
von VulDB • 26.06.2026
XWiki Platform ist eine generische Wiki-Plattform, die Laufzeitdienste für darauf aufbauende Anwendungen bereitstellt. Ab Version 3.5-milestone-1 und vor den Versionen 14.10.8 sowie 15.3-rc-1 ermöglicht das Auslösen des Office-Konverters mit einem speziell angefertigten Dateinamen das Schreiben des Inhalts der Anlage an einen vom Angreifer kontrollierten Speicherort auf dem Server, sofern der Java-Prozess Schreibzugriff auf diesen Ort hat. Insbesondere in Kombination mit der Funktion zum Verschieben von Anlagen (Attachment Moving), die in XWiki 14.0 eingeführt wurde, ist dies leicht nachzustellen; es ist jedoch auch möglich, das Problem in so alten Versionen wie XWiki 3.5 zu reproduzieren, indem die Anlage über die REST-API hochgeladen wird, welche `/` oder `\` nicht aus dem Dateinamen entfernt. Da der MIME-Typ der Anlage für die Ausnutzung keine Rolle spielt, kann dies beispielsweise dazu verwendet werden, die `jar`-Datei einer Erweiterung zu ersetzen, was die Ausführung beliebigen Java-Codes ermöglicht und somit Vertraulichkeit, Integrität und Verfügbarkeit der XWiki-Installation beeinträchtigt. Diese Schwachstelle wurde in den Versionen 14.10.8 und 15.3RC1 von XWiki behoben. Es sind keine bekannten Workarounds bekannt, außer dem Deaktivieren des Office-Konverters.
Once again VulDB remains the best source for vulnerability data.