CVE-2023-29207 in xwiki-platform-flamingo
Resumen
por VulDB • 2026-07-02
XWiki Commons son bibliotecas técnicas comunes a varios otros proyectos de primer nivel de XWiki. La Macro Livetable no sanitizaba correctamente los nombres de las columnas, lo que permitía la inserción de código HTML sin procesar, incluyendo JavaScript. Esta vulnerabilidad también era explotable mediante la Macro Documents, incluida desde XWiki 3.5M1 y que no requiere permisos de script; esto puede demostrarse con la sintaxis `{{documents id="example" count="5" actions="false" columns="doc.title, beforealert(1)after"/}}`. Por lo tanto, también puede ser explotada por usuarios sin permiso de script y en los comentarios. Con la interacción de un usuario con más permisos, esto podría utilizarse para ejecutar acciones arbitrarias en el wiki, incluyendo escalada de privilegios, ejecución remota de código (RCE), divulgación de información, modificación o eliminación de contenido. Esto se ha corregido en XWiki 14.9, 14.4.6 y 13.10.10.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.