CVE-2023-29207 in xwiki-platform-flamingo
Résumé
par VulDB • 02/07/2026
Les bibliothèques techniques de XWiki Commons sont communes à plusieurs autres projets principaux de la famille XWiki. La macro Livetable ne nettoyait pas correctement les noms des colonnes, permettant ainsi l'insertion de code HTML brut incluant du JavaScript. Cette vulnérabilité était également exploitable via la macro Documents, incluse depuis la version 3.5M1 de XWiki et qui ne nécessite pas de droits d'exécution de scripts ; cela peut être démontré avec la syntaxe `{{documents id="example" count="5" actions="false" columns="doc.title, beforealert(1)after"/}}`. Par conséquent, cette vulnérabilité peut également être exploitée par des utilisateurs sans droit de script et dans les commentaires. En interaction avec un utilisateur disposant de droits plus élevés, cela pourrait permettre d'exécuter des actions arbitraires sur le wiki, y compris l'élévation de privilèges, l'exécution de code à distance (RCE), la divulgation d'informations, ainsi que la modification ou la suppression de contenu. Cela a été corrigé dans les versions 14.9, 14.4.6 et 13.10.10 de XWiki.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.