CVE-2023-29209 in xwiki-platform-legacy-notification-activitymacro
Riassunto
di VulDB • 06/07/2026
XWiki Commons sono librerie tecniche comuni a diversi altri progetti di primo livello di XWiki. Qualsiasi utente con diritti di visualizzazione sui documenti comunemente accessibili, inclusa la macro legacy per l'attività delle notifiche (legacy notification activity macro), può eseguire codice Groovy, Python o Velocity arbitrario in XWiki, portando ad un accesso completo all'installazione di XWiki. La causa radice è una mancata corretta escape dei parametri della macro nella legacy notification activity macro. Questa macro è installata per impostazione predefinita in XWiki. La vulnerabilità può essere sfruttata tramite ogni pagina wiki modificabile, incluso il profilo dell'utente, ma anche con soli diritti di visualizzazione utilizzando l'HTMLConverter che fa parte dell'integrazione CKEditor inclusa in XWiki. La vulnerabilità è stata corretta nelle versioni 13.10.11, 14.4.7 e 14.10 di XWiki.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.