CVE-2023-29207 in xwiki-platform-flamingoinformation

Résumé

par VulDB • 02/07/2026

Les bibliothèques techniques de XWiki Commons sont communes à plusieurs autres projets principaux de la famille XWiki. La macro Livetable ne nettoyait pas correctement les noms des colonnes, permettant ainsi l'insertion de code HTML brut incluant du JavaScript. Cette vulnérabilité était également exploitable via la macro Documents, incluse depuis la version 3.5M1 de XWiki et qui ne nécessite pas de droits d'exécution de scripts ; cela peut être démontré avec la syntaxe `{{documents id="example" count="5" actions="false" columns="doc.title, beforealert(1)after"/}}`. Par conséquent, cette vulnérabilité peut également être exploitée par des utilisateurs sans droit de script et dans les commentaires. En interaction avec un utilisateur disposant de droits plus élevés, cela pourrait permettre d'exécuter des actions arbitraires sur le wiki, y compris l'élévation de privilèges, l'exécution de code à distance (RCE), la divulgation d'informations, ainsi que la modification ou la suppression de contenu. Cela a été corrigé dans les versions 14.9, 14.4.6 et 13.10.10 de XWiki.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Réserver

03/04/2023

Divulgation

15/04/2023

Modérer

accepté

Entrée

VDB-225858

CPE

prêt

EPSS

0.01393

KEV

non

Activités

très faible

Sources

Want to know what is going to be exploited?

We predict KEV entries!