CVE-2023-29207 in xwiki-platform-flamingo
요약
\~에 의해 VulDB • 2026. 07. 02.
XWiki Commons는 여러 상위 수준의 XWiki 프로젝트에서 공통으로 사용되는 기술 라이브러리입니다. Livetable Macro가 열 이름을 적절하게 sanitizing하지 않아 JavaScript를 포함한 원시 HTML 코드를 삽입할 수 있었습니다. 이 취약점은 XWiki 3.5M1부터 포함된 Documents Macro를 통해서도 공격 가능하며, 스크립트 권한이 필요하지 않습니다. 이는 `{{documents id="example" count="5" actions="false" columns="doc.title, beforealert(1)after"/}}` 구문을 사용하여 시연할 수 있습니다. 따라서 이 취약점은 스크립트 권한이 없는 사용자와 댓글을 통해서도 악용될 수 있습니다. 더 높은 권한을 가진 사용자의 상호 작용과 결합하면 위키에서 임의 작업을 실행하는 데 사용할 수 있으며, 여기에는 권한 상승(RCE), 원격 코드 실행, 정보 유출, 콘텐츠 수정 또는 삭제가 포함됩니다. 이 문제는 XWiki 14.9, 14.4.6 및 13.10.10에서 패치되었습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.