CVE-2023-29207 in xwiki-platform-flamingoinformación

Resumen

por VulDB • 2026-07-02

XWiki Commons son bibliotecas técnicas comunes a varios otros proyectos de primer nivel de XWiki. La Macro Livetable no sanitizaba correctamente los nombres de las columnas, lo que permitía la inserción de código HTML sin procesar, incluyendo JavaScript. Esta vulnerabilidad también era explotable mediante la Macro Documents, incluida desde XWiki 3.5M1 y que no requiere permisos de script; esto puede demostrarse con la sintaxis `{{documents id="example" count="5" actions="false" columns="doc.title, beforealert(1)after"/}}`. Por lo tanto, también puede ser explotada por usuarios sin permiso de script y en los comentarios. Con la interacción de un usuario con más permisos, esto podría utilizarse para ejecutar acciones arbitrarias en el wiki, incluyendo escalada de privilegios, ejecución remota de código (RCE), divulgación de información, modificación o eliminación de contenido. Esto se ha corregido en XWiki 14.9, 14.4.6 y 13.10.10.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Reservar

2023-04-03

Divulgación

2023-04-15

Moderación

aceptado

Artículo

VDB-225858

CPE

listo

EPSS

0.01393

KEV

no

Actividades

muy bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!