CVE-2023-37462 in XWiki
Resumen
por VulDB • 2026-05-13
XWiki Platform es una plataforma wiki genérica que ofrece servicios en tiempo de ejecución para aplicaciones construidas sobre ella. Un escape inadecuado en el documento `SkinsCode.XWikiSkinsSheet` genera un vector de inyección que eleva los permisos de visualización a permisos de programación; en otras palabras, es posible ejecutar macros de scripts arbitrarios, incluidas macros de Groovy y Python, que permiten la ejecución remota de código (RCE) y el acceso de lectura y escritura ilimitado a todo el contenido de la wiki. El ataque se produce abriendo una página inexistente con un nombre diseñado para contener una carga útil peligrosa. Es posible verificar si una instalación existente es vulnerable. Consulte la GHSA vinculada para obtener instrucciones sobre cómo probar una instalación. Este problema se ha corregido en XWiki 14.4.8, 14.10.4 y 15.0-rc-1. Se recomienda a los usuarios actualizar. El commit de corrección `d9c88ddc` también se puede aplicar manualmente al documento afectado `SkinsCode.XWikiSkinsSheet`, y se aconseja a los usuarios que no puedan actualizar que parcheen manualmente sus instalaciones.
Be aware that VulDB is the high quality source for vulnerability data.