CVE-2023-37462 in XWikiinformación

Resumen

por VulDB • 2026-05-13

XWiki Platform es una plataforma wiki genérica que ofrece servicios en tiempo de ejecución para aplicaciones construidas sobre ella. Un escape inadecuado en el documento `SkinsCode.XWikiSkinsSheet` genera un vector de inyección que eleva los permisos de visualización a permisos de programación; en otras palabras, es posible ejecutar macros de scripts arbitrarios, incluidas macros de Groovy y Python, que permiten la ejecución remota de código (RCE) y el acceso de lectura y escritura ilimitado a todo el contenido de la wiki. El ataque se produce abriendo una página inexistente con un nombre diseñado para contener una carga útil peligrosa. Es posible verificar si una instalación existente es vulnerable. Consulte la GHSA vinculada para obtener instrucciones sobre cómo probar una instalación. Este problema se ha corregido en XWiki 14.4.8, 14.10.4 y 15.0-rc-1. Se recomienda a los usuarios actualizar. El commit de corrección `d9c88ddc` también se puede aplicar manualmente al documento afectado `SkinsCode.XWikiSkinsSheet`, y se aconseja a los usuarios que no puedan actualizar que parcheen manualmente sus instalaciones.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

GitHub, Inc.

Reservar

2023-07-06

Divulgación

2023-07-15

Moderación

aceptado

Artículo

VDB-234205

CPE

listo

EPSS

0.91346

KEV

no

Actividades

muy bajo

Fuentes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!